数码之家

标题: IC原理、结构的学习，并改造一个IC卡 [打印本页]

作者: jf201006 时间: 2023-9-22 17:06
标题: IC原理、结构的学习，并改造一个IC卡
本帖最后由 jf201006 于 2023-9-22 17:10 编辑

本帖分为三部分：
一是IC卡的原理
二是IC卡的结构
三是改造一个IC卡

一、S50（M1）卡介绍
1、S50（M1）卡基础知识

[attach]1929256[/attach]

1.每张卡有唯一的序列号，32位(bit)。

2.卡的容量是8Kbit的EEPROM。

3.分为16个扇区，每个扇区分为4块，每块16个字节，以块为存取单位。

4.每个扇区都有独立的两组密码和访问控制权限。

2、内部信息

扇区0的块0用来固化厂商代码。

[attach]1929257[/attach]

每个扇区的块3作为控制块，存放：密码A（6字节）、存取控制（4字节）、密码B（6字节）。

[attach]1929258[/attach]

每个扇区的块0、1、2作为数据块，其作用如下：

1.作为一般的数据存储，可以对其中的数据进行读写操作；

2.用作数据值，可以进行初始化值、加值、减值、读值操作。

3、存取控制

每个扇区的密码和存取控制都是独立的，存取控制是4个字节，即32位（在块3中）。每个块都有存取条件，存取条件是由密码和存取控制共同决定的。每个块都有相应的三个控制位，这三个控制位存在于存取控制字节中，相应的控制位决定了该块的访问权限，控制位如图：

[attach]1929259[/attach]

就是说，每个扇区的所有块的存取条件控制位，都放在了该扇区的块3中，如图：

[attach]1929260[/attach]

4、数据块的存取控制

对数据块，与就是块0、1、2的存取控制是由对应块的控制位来决定的：

[attach]1929261[/attach]

表中A/B表示密码A或密码B，N表示任何条件下都不能实现。

如：当块0的存取控制位C10C20C30=100时：

验证密码A或密码B正确后可读取；验证密码B正确后可写，不能进行增值、减值操作。

从表中得知：对数据块的存取控制，由于存取控制由三个控制位所决定，所以相应的访问条件就产生了8种。要想对数据块进行操作，首先要看该数据块的控制位是否允许对数据块的操作，如果允许操作，再看需要验证什么密码，只有验证密码正确后才可以对该数据块执行相应操作。一般密码A的初始（默认）值都是0xFF078069。

[attach]1929262[/attach]

对应的控制位：

[attach]1929263[/attach]

5、控制块的存取控

块3（控制块）的存取操作与数据块不同，如图：

[attach]1929264[/attach]

如：当块3 的存取控制位C13C23C23=001时：

密码A：不可读取，验证密码A或密码B正确后，可写；

存取控制：验证密码A或密码B正确后，可读取，可写；

密码B：验证密码A或密码B正确后，可读取，可写。

其默认的数制控制和控制块的控制如下：

[attach]1929265[/attach]

6、工作原理

电气部分：卡片的电气部分由一个天线和一个芯片组成。

天线：就是几组绕线的线圈，体积小。

芯片：已经封装在芯片内 ASIC（专用集成电路，是指应特定用户要求和特定电子系统的需要而设计、制造的集成电路）。目前用CPLD（复杂可编程逻辑器件）和 FPGA（现场可编程逻辑阵列）来进行ASIC设计是最为流行的方式之一，它们的共性是都具有用户现场可编程特性，都支持边界扫描技术，但两者在集成度、速度以及编程方式上具有各自的特点，这样理解，ASIC就是卡片特点的一个集成电路。卡片的ASIC包含了一个高速（106KB）的RF接口、一个控制单元、一个8K的EEPROM

工作过程：读卡器会向M1卡发送一组固定频率的电磁波，卡片内有一个LC串联谐振电路，其工作频率与读卡器发送的电磁波频率相同，遂在电磁波的激励下，LC串联谐振电路会发生共振，从而使电容内产生电荷，在电容的另一端接有一个单向导电的电子泵，电子泵将产生的电荷转移到另一个电容中存储。当存储电容中的电荷达到2V的时候，此时电容就作为电源为其他电路提供工作电压，所以卡片就可以向读卡器发送数据，或者从读卡器接收数据，实现了读卡器与卡片的通信。

7、M1与读卡器的通信

通信的流程图如示：

[attach]1929266[/attach]

复位应答（Request） M1卡的通信协议和通信波特率是定义好的，当有卡片进入读卡器的工作范围时，读卡器要以特定的协议与卡片通信，从而确定卡片的卡型。

防冲突机制（AnticollisionLoop）当有多张卡片进入读写器操作范围时，会从中选择一张卡片进行操作，并返回选中卡片的序列号。

选择卡片（SelectTag）选择被选中的卡的序列号，并同时返回卡的容量代码。

三次相互确认（3 Pass Authentication）选定要处理的卡片后，读写器就要确定访问的扇区号，并且对扇区密码进行密码校验。在三次互相认证后就可以通过加密流进行通信。每次在选择扇区的时候都要进行扇区的密码校验。

对数据块的操作：读（Read）:读一个块的数据；写（Write）：在一个块中写数据；增值（Increment）：对数据块中的数值进行加值；减值（Decrement）：对数据块中的数值进行减值；传输（Transfer）：将数据寄存器中的内容写入数据块中；中止（Halt）：暂停卡片的工作；

二、IC卡的结构

以前使用ID卡的较多，现在IC卡较多。

ID卡全称身份识别卡(Identification Card)，是一种不可写入的感应卡，含固定的编号，工作频率是125KHz，属于低频。

IC卡全称集成电路卡(Integrated CircuitCard)，又称智能卡。可读写，容量大，有加密功能，数据记录安全可靠，频率是13.56MHz，属于高频。

主要有PHILIP的Mifare系列卡（俗称M1卡），和复旦卡（S50）。

IC卡因其工件频率高，天线（线圈）小，可以做成各种形状。标准的IC卡（大卡）与ID卡是一样大小的，但ID卡较IC卡要厚一些。X宝上的IC卡读取设备有些还是支持ID卡的复制的。

[attach]1929277[/attach]

1、ID卡ID卡正面有一串数字。

[attach]1929278[/attach]

有芯片、有线圈（天线），线圈线径细，匝数很多。

[attach]1929279[/attach]

2、IC卡IC卡很薄，有芯片、有线圈。

[attach]1929280[/attach]

很不好拆，剪开后，断面可见线圈（天线）。

[attach]1929281[/attach]

内部大概就是这样的。

[attach]1929282[/attach]

3、水滴卡

就是水滴形状的IC卡，也是有芯片、有线圈。

[attach]1929283[/attach]

[attach]1929284[/attach]

线圈的情况。

[attach]1929285[/attach]

线径略粗于大卡，圈数要多于大卡。

[attach]1929286[/attach]

4、还有些如滴胶IC卡等，主打小巧、可爱。但基本结构是一样的，由芯片和线圈组成的。

大卡和小的卡，在读写方面都一样，只是大卡的距离略胜上点。

卡片就这么随便一放就可以读写。

[attach]1929287[/attach]

三、改造一下IC卡

每次到老爸家去，要带上进单元门的IC卡和开门的遥控器。很是不方便，所以有想法将其二合一。其实可以直接通过手机的NFC加一个门禁卡的，但本人的手机没有NFC功能。

这个开门器是自己加装的，另有一帖。为了方便，两个遥控器，一个留在家里，一个我拿着，不用进门时再耽误时间了。

知道了IC卡原理，以下改造就很简单

1、拆开门禁卡

这种水滴卡，正面的小圆圈，撬一下就可以拆开。图中标错了，应该是门禁卡。

[attach]1929288[/attach]

取下芯片，用漆包线自己绕一个线圈，焊接上芯片。

[attach]1929290[/attach]

线圈的情况，比水滴卡的直径大一点，用了7圈。

[attach]1929291[/attach]

2、与遥控器合体

将遥控器拆开。

[attach]1929292[/attach]

在后盖上放上新做的IC卡电路，注意绝缘。

[attach]1929294[/attach]

装回遥控器主板。

[attach]1929295[/attach]

3、进行测试

在读卡器上成功读取到信息。

[attach]1929297[/attach]

在按下遥控器发射按钮时，仍然能正常读取信息。

[attach]1929298[/attach]

4、实际使用

可以用这个遥控器进行单元门的开启。

[attach]1929299[/attach]

遥控器开家门也正常。

改造成功。

明天，杭州第19届亚运会就开幕了，

祝亚运会圆满成功！

祝我运动健儿取得好成绩！！

谢谢观赏！

祝坛友们中秋、国庆双节快乐！！

作者: soma 时间: 2023-9-22 17:21
rc522可以读写卡使用spi通讯不像532可以uart通讯

作者: our420 时间: 2023-9-22 17:36
99年做mifare卡的公交卡项目, 2000年上海展会就看到自动制卡机了, 好像现在是便宜了但是工艺反倒退步了

作者: cyi8 时间: 2023-9-22 17:43
记得很久之前有个论坛是专门研究这个的，包括各种RF卡的读，写，破解，复制等等，后来有一段时间没上，等想起来想上去看看的时候已经打不开了，不知道是换域名了还是真的关了。反正那时候各种卡各种改造，反正技术就是在一次次尝试下出来的。老实说，早个十几年，就在深圳多出租屋的地方开个复制水滴开门感应的店，一个月也能赚不少

作者: 有点不烧 时间: 2023-9-22 17:49
楼主是高手，我只有看看羡慕的份。

作者: johnlj 时间: 2023-9-22 18:01
楼主有心人，遥控器的空间刚好放得下线圈和ic，我也想试试了

作者: ronaldo2028 时间: 2023-9-22 18:22
本帖最后由 ronaldo2028 于 2023-9-22 18:23 编辑

之前很喜欢在JLC自己设计,免费打板玩这个IC卡

双面6灯交通卡

4合1 4色交通&门禁卡
[attach]1929349[/attach][attach]1929350[/attach][attach]1929348[/attach][attach]1929347[/attach]

作者: 石墨 时间: 2023-9-22 19:04
ICIPIQ卡，通通告诉我密码

楼主说了半天ABC，还以为后面要破解。。。。

作者: esp888 时间: 2023-9-22 19:05
都是高手,羡慕

作者: 512330096 时间: 2023-9-22 20:01
只能感叹楼主高手！

作者: 理想 时间: 2023-9-22 20:26
学习了，楼主好技术

作者: wllzhk 时间: 2023-9-22 21:47
有那种像圆形贴纸的卡，可以贴在手机背面
一开始我也以为lz要破解呢

作者: qrut 时间: 2023-9-22 21:53
介绍的很详细

作者: zigzagroad 时间: 2023-9-22 21:57

ronaldo2028 发表于 2023-9-22 18:22
之前很喜欢在JLC自己设计,免费打板玩这个IC卡

双面6灯交通卡

线圈在PCB上的吧？加上4颗IC芯片和 4颗IC选择按钮

作者: 迈克老狼 时间: 2023-9-22 22:42
学习了码住，要仔细读

作者: wfzdm 时间: 2023-9-22 22:55
多谢分享

作者: 血尤未冷 时间: 2023-9-22 23:28
楼主辛苦啦，学习了

作者: moontree 时间: 2023-9-23 00:13
科普贴，先收藏备用。

作者: lxq421 时间: 2023-9-23 08:09
讲的很详细学习了

作者: wlhcq 时间: 2023-9-23 09:15
谢谢科普，长知识了！

作者: tian71 时间: 2023-9-23 10:13
我是把门禁卡装到智能手表里面，线圈放屏幕的外围，芯片放屏幕后面，虽然上表壳是金属的得贴到才能用，但很方便

作者: mhtlov 时间: 2023-9-23 10:36
用到了数学排布

作者: aping365 时间: 2023-9-23 11:03
谢谢科普，楼主高手！

作者: confessor 时间: 2023-9-23 11:06
楼主的帖子深入浅出，把原理，方法说的都很清楚。非常棒！

作者: kkdkj 时间: 2023-9-23 11:07
学到知识了

作者: 敏锐 时间: 2023-9-23 11:22
谢谢科普刷卡拆开里边有绕组地磅一接触改变了频率然后就，，，猜猜楼主是浙江哪里人吧

作者: ccp 时间: 2023-9-23 11:26
读取和写入的软件用哪个？

作者: 亚历山大 时间: 2023-9-23 11:34
好像带NFC的手机都可以复制IC卡，只是IC卡不通用

作者: zzchao1975 时间: 2023-9-23 15:19
科普贴，先收藏备用。

作者: 兔包公 时间: 2023-9-23 20:16
无暇细看，收藏先…恭喜楼主又出精帖…

作者: heju 时间: 2023-9-23 21:24
请问一下楼主，IC卡主板上的胶怎么去除比较方便一些。

作者: z13579 时间: 2023-9-23 21:31
这几天正好研究了下梯控，我们小区的梯控，已经写到手机里去了，还带滚动码，用PN532小红板，分析完数据后，直接发张新卡到手机里，再也不用带IC卡了，麻烦的很

作者: 简单happy 时间: 2023-9-23 21:41

ronaldo2028 发表于 2023-9-22 18:22
之前很喜欢在JLC自己设计,免费打板玩这个IC卡

双面6灯交通卡

这个能不能提示一下线圈怎么画，我公司门禁快卡断裂了，

作者: haidong1999 时间: 2023-9-24 01:16
谢谢科普

作者: gu_572101993 时间: 2023-9-24 08:42
这帖子太给力了，我还有好几个废卡，刚好拆开看看里面的线圈。

作者: wgm468 时间: 2023-9-24 10:44
一直想把门禁卡移植到手机里，但一直又没弄。。。。。。

作者: ccbw 时间: 2023-9-24 11:47
记号一下。

作者: wqwq212 时间: 2023-9-24 13:01
高手层出不穷，改的挺有意思。

作者: 轻烟 时间: 2023-9-24 13:15
挺详细的，新小区一般都应用人脸识别了，不过公交还在用IC卡

作者: jbm1 时间: 2023-9-24 15:21
那是车库门遥控吧？

作者: xktx09 时间: 2023-9-24 16:00
最近在学pn532，学了好多知识

作者: wmshizheng 时间: 2023-9-24 19:22
数码之家人才济济，佩服

作者: mhwz 时间: 2023-9-24 21:03
真期待加密卡破解呢

作者: 光头老奎托斯 时间: 2023-9-24 22:10

学习了码住，要仔细读

作者: macadam 时间: 2023-9-24 23:38
介绍得很细，学习一下

作者: hehesa 时间: 2023-9-25 00:57
可以的，还是很细的

作者: i584110 时间: 2023-9-25 07:55
教科书般的说明很详细小白都能看懂了

作者: ljlun 时间: 2023-9-25 08:53
恭喜老友授精！

偶手上的IC卡也不少，上次偶盲改公交卡到门禁卡上失败了

作者: wh100ta 时间: 2023-9-25 08:54
很实用的帖子！

作者: szb314 时间: 2023-9-25 08:58
加密的就不太好复制了

作者: 大海1975 时间: 2023-9-25 09:07
本帖最后由大海1975 于 2023-9-25 09:11 编辑

虽然有失败（拆坏）的风险，但也不失为一种思路，各人有各人的使用场境。把线圈直接放手机后盖里不更方便（人现在是离不开手机的）........

作者: youle0 时间: 2023-9-25 09:17
我在电动车钥匙背面贴了一个小圆片，就是距离有点短，楼主的创意给了我思路，原来还可以自己绕线圈

作者: 李拜天 时间: 2023-9-25 09:36
感谢分享，学习路上的好帖

作者: solarshen666 时间: 2023-9-25 10:53
和我一样，不过我是把门禁卡移植到车钥匙里了，正好车钥匙电池盖板那里的空位能放得下小线圈

作者: uaue 时间: 2023-9-25 10:56
讲一下破解复制技术就更好了

作者: miaoamiao 时间: 2023-9-25 11:49
门禁卡能复制到红米爪机吗

作者: 数码之家小马哥 时间: 2023-9-25 11:56
谢谢楼主分享知识，学习了

作者: newboyfeng 时间: 2023-9-25 12:59

ronaldo2028 发表于 2023-9-22 18:22
之前很喜欢在JLC自己设计,免费打板玩这个IC卡

双面6灯交通卡

这个真得牛啊，4个芯片都用一个线圈，led是怎么做到的？

作者: yunzhang 时间: 2023-9-25 13:57
改成两面的卡可能也可以！

作者: 辉腾8888 时间: 2023-9-25 13:57
大神啊，进来学习，谢谢分享，楼主辛苦了

作者: baojtj 时间: 2023-9-25 13:58

讲的很详细学习了

作者: IKCHEN 时间: 2023-9-25 15:27
资料很详细

作者: 292861772 时间: 2023-9-25 16:40
你其实不用自己绕线圈，把那个水滴卡的线圈拆下来就可以啊。我就是这么用的

作者: mmmmmc1024 时间: 2023-9-25 17:04
先收藏一下，便于后续学习。

作者: chyutong 时间: 2023-9-26 07:49
学习了，楼主好技术

作者: 光头老奎托斯 时间: 2023-9-26 07:54

感谢分享，学习路上的好帖

作者: panhbcao 时间: 2023-9-26 08:31
楼主是高手

作者: doymll 时间: 2023-9-26 08:35
很详细,我破解是为了方便自己随时复制制卡给同事.公司各种门禁多品牌.不合一下.很麻烦

作者: wangyi798 时间: 2023-9-26 09:56
颜值与才华并存，人才，确实是厉害

作者: newnet1234 时间: 2023-9-26 10:43
这标题够大，吓得我赶紧进来学习一下

作者: michael330-lost 时间: 2023-9-26 14:24
我是来学习搞破解的

作者: 天使之音 时间: 2023-9-26 14:58

厉害！
楼主发帖。。。。。必精！

作者: jackyiceblue 时间: 2023-9-26 22:31
有没有大佬帮忙跑个dump？买了100多块的机器，13扇区解不开

作者: 没良心的 时间: 2023-9-26 22:46
看楼主介绍了半天，以为楼主会破解一个卡给我们看看过程的

结果只是把卡装进了遥控器………………

作者: 52130 时间: 2023-9-27 09:02
很不错的想法

作者: xiyuxixi 时间: 2023-9-27 09:45
现在IC卡加密越来越严格，特别是滚码的，除非爆出bug或者厂家泄露加密算法，要不然基本无解

作者: dancesun 时间: 2023-9-27 11:22

讲的很详细学习了

作者: hanfeng888 时间: 2023-9-27 13:11
加上4颗IC芯片和 4颗IC选择按钮

作者: dmhs31 时间: 2023-9-27 16:33
很详细，谢谢分享。话说看前一部分，还以为LZ要PJ之类的操作。

作者: andy1020cn 时间: 2023-9-27 17:37
手机厂商怎么不内置一套遥控硬件呢

作者: xgb8001 时间: 2023-9-27 20:49
楼主是高手，我只有看看羡慕的份。

作者: 沙漠臭屁虫 时间: 2023-9-28 00:16
大婶一出手就是精品

作者: kerchi 时间: 2023-9-28 09:19
学习了，原来还可以这样玩

作者: tingji 时间: 2023-9-28 09:22
楼主再出一份单片机控制RC522模块读写射频卡操作吧!我准备材料去.

作者: 阳光cced 时间: 2023-9-28 10:32
这个必须收藏

作者: teason 时间: 2023-9-28 15:53
很实用的改造
还有基础教育

作者: 小白兔 时间: 2023-9-28 20:03
蒋兄出品，必属精品

作者: 光头老奎托斯 时间: 2023-9-28 22:11
虽然我不会，但是还是要支持楼主

作者: jxcnj 时间: 2023-9-28 22:44
写了半天，最后用了最简单的办法

作者: 乌邪邪 时间: 2023-9-30 07:26
楼主是高手，我只有看看羡慕的份。

作者: beiling 时间: 2023-9-30 09:25
好像不能进行id卡的改造哦

作者: beiling 时间: 2023-9-30 09:26
刚才回复错了。

ic卡 522也可以读写吗？

作者: baoshizhi 时间: 2023-9-30 11:30
我手机有NFC，但是公司还是用ID卡门禁，我只能在手机壳上粘一个了。

作者: fqazwsx12 时间: 2023-9-30 17:53
学习下，IQ卡不足，还要慢慢琢磨

作者: hujj 时间: 2023-9-30 20:14
基础知识讲解得很详细，但具体如何读写就一笔带过了，期待更详细的介绍。

作者: dhf281 时间: 2023-10-1 09:16

敏锐发表于 2023-9-23 11:22
谢谢科普刷卡拆开里边有绕组地磅一接触改变了频率然后就，，，猜猜楼主是浙江哪里人吧 ...

永康那边吧

作者: dhf281 时间: 2023-10-1 09:17

tian71 发表于 2023-9-23 10:13
我是把门禁卡装到智能手表里面，线圈放屏幕的外围，芯片放屏幕后面，虽然上表壳是金属的得贴到才能用，但很 ...

这得大拆了

作者: dhf281 时间: 2023-10-1 09:18

亚历山大发表于 2023-9-23 11:34
好像带NFC的手机都可以复制IC卡，只是IC卡不通用

有些IC卡也不能复制，一方面是频率不对，还有一方面是加密了。

作者: dhf281 时间: 2023-10-1 09:20

z13579 发表于 2023-9-23 21:31
这几天正好研究了下梯控，我们小区的梯控，已经写到手机里去了，还带滚动码，用PN532小红板，分析完数据后 ...

有些滚动卡的复制不了，嗅探也没用

作者: dhf281 时间: 2023-10-1 09:22

miaoamiao 发表于 2023-9-25 11:49
门禁卡能复制到红米爪机吗

有些可以，有些不可以，我试过了。至少加密的不用想了，模拟也不行，我用了X5的

欢迎光临数码之家 (https://www.mydigit.cn/)