【天堂论坛】玩机到天堂 买机找海洋西门子……灵感点亮生活 → 【转】S65之ELF一卡多号--菜鸟指导+高手对话
查看完整版本:【转】S65之ELF一卡多号--菜鸟指导+高手对话
2008/7/2 21:00:00

S65之ELF一卡多号--菜鸟指导+高手对话

<div class=t_msgfont id=postmessage_4363957>曾经沉迷于S65,去年又陷于6688,今年对GSM网络作了些钻研。bingkx介绍了SGOLD平台一卡多号的最新进展,立即产生了浓厚兴趣,因为这是我很感兴趣的东东。经过一星期来摸索,得到了些体会,不敢独享,遂发此贴。
       ELF才接触,不敢妄言。但一卡多号还是比较熟悉,有些机油苦于菜鸟级教程缺少,不能享用;也有些心得体会,与高手探讨,请不吝指教。
一、S65之ELF一卡多号--菜鸟指导
       因为第一次接触ELF,一头雾水。阿冰的教材很详细,但刷机还是不成功。经过几天探索,终于吼吼吼。以下就注意事项做个归纳,以免菜鸟们走弯路。
(1)一卡多号概念。分为物理和虚拟一卡多号。物理一卡多号,如金鱼卡、老鹰卡,是一种特殊SIM卡。虚拟卡又分为MP类和ELF类,刷入补丁,使用普通SIM卡。MP类使用5400块,ELF类使用5401、5402、5403块。就功能上,ELF类非常强大。
(2)ELF基础补丁的配套问题
ELF基础补丁有四个:API、CODEMAP、ELFLOADER、LIB。由于版本繁多,名称各异,再加上PACK集成,往往难以配套。如果仅仅是ELF,配套可能非必须。但一卡多号好像有这个要求,所以还不能追求最新版本的ELFLOADER、LIB。经过测试,wangqun2008提供的下载包非常好。
http://mobile.0110.cn/viewthread.php?tid=362812&extra=page%3D1
针对S65,本贴附件中提供该4个基础补丁下载,方便菜鸟们。
这4个补丁依次刷入机子,就可以用ELF了。
(3)刷一卡多号补丁前准备。
1.按阿冰教程制作5401、5402、5403模块,附件中提供下载。至于如何填ISMI、KI等,请看阿冰教材。
2.ELF类补丁都需要Zbin文件夹,附件里是wangqun2008提供,并经过本人清理过的。
3.用SIMOCO,将5401.txt-5403.txt文件拷入0:\MISC目录下,Zbin文件夹拷入0:\根目录下。0:\,即DATA目录,不需要OD打开隐藏目录就可以看得到。
    5401模板中第三行卡名为00 31 32 33...,这里有个技巧。30~39对应于0~9的ACSII码,所以,如果你用数字来表示卡名时,只要改动3后的数字就可以了。如果用英文卡名,ACSII码转换要麻烦一些。
(4)multisim.vkp、MultiSim.elf。刷入ELF基础补丁后,开机运行0:\Zbin\utilities\MultiSim.elf,机子根据5401-03块内容,自动在EEP中建立5401-03块。不需要像MP类中用Siemens_EEPROM_tool创建块。提示建立好5401-03块后关机,再刷入multisim.vkp,就OK了。
(5)Zbin问题。Daemons目录下如果有ExtD.elf,在刷完multisim.vkp开机后,会将中餐馆装修成西餐厅。如果为了迎奥运与世界接轨,使用E文菜单,可能也是很酷的,但一般机油会很苦的。
(6)进入0:\Zbin\utilities\文件夹,运行MultiSim.elf,有几种途径。1.九宫格-附加功能-设备管理,是MultiSim.elf入口。2.九宫格-附加功能-文件管理器-Zbin-utilities-MultiSim.elf,有点麻烦。3.如果你刷过打开隐藏文件补丁,九宫格-我的文件夹-长按1键进入隐藏文件-data(或0:)-Zbin-utilities-MultiSim.elf,还麻烦些。如你要看一下5401.txt-5403.txt文件在不在机子里,只能用上述2.或3.方法打开0:\MISC\。
(7)运行MultiSim.elf进行一卡多号管理菜单。Preferences-对5401.txt-5402.txt文件的操作,保存、更新、打开。再就是门号转换。当保存5401.txt-5402.txt时,在0:\MISC\里会产生.bak文件。

二、S65之ELF一卡多号--高手对话
关于GSM网络方面的一些内容,在6688论坛中介绍过。
[一]GSM网络概念和参数值
Ki           鉴权密钥            16bytes
SRES     鉴权结果              4bytes
Kc       通话加密密钥          8bytes
RAND     随机数               16bytes
IMSI    国际移动用户识别  16bytes
TMSI  用户的临时识别号     4bytes
MSISDN   用户号码即平常说的手机号码
Fn       当前帧号(相当于RAND)22bit
MS       移动台,即你的手机
LOCI:   位置信息。
BCCH:   广播控制信道。
[二]GSM网络加密运算
A3 IMSI认证算法     128位 KI+RAND运算SRES
A8 用户密匙生成算法 128位 KI+RAND运算Kc
A5 加密密匙生成算法 128位 Kc+Fn加密通讯数据运算密钥流
[三]参与鉴权的主要网络单元:
访问地注册中心    VLR 漫游时
移动交换中心      MSC 漫游时
归属地注册中心    HLR
鉴权中心          AuC
[四]GSM网络登录步骤
  1. 手机开机后会从SIM卡中读取IMSI(15个数字)和TMSI(4字节);
  2. 手机登录网络时,将IMSI或TMSI发给网络;
  3. 网络判断到该IMSI或TMSI有效,要生成一个128bit的RAND,然后发给手机;
  4. 手机收到RAND后,将RAND发给SIM卡;
  5. SIM以里面的KI为密钥对RAND进行A3A8运算,生成(SRES+Kc);
  6. 手机读取(SRES+Kc)(32bit+64bit),并将SRES发给网络;
    7. 网络自己进行一次A3A8运算,如果结果与手机返回的SRES相同,则认为该用户合法。
    鉴权成功显示当前运营商名称。为了防止用户在登网之后拔掉SIM卡,手机在一定时间间隔内会发送一条查询指令,察看目前SIM卡的状态,一旦发现SIM卡没有回送正确的应答,那么就切断和网络之间的联系,提示插入SIM卡。
[五]几个重要参数说明
    TMSI为保护IMSI而使用,在同一VLR区域内使用。用户开机时使用IMSI,在鉴权后使用TMSI。TMSI会因地址变更而更新,也会定期更新。TMSI中一般包含LAC位置信息。
    ICCID是SIM卡卡号(不同于MSISDN),印在每个SIM卡背后。标准ICCID由20位数字组成(五个一排,被排成四排),可以区别移动和联通、MSISDN的前三位、号码所在地区等。还有一些省、市发行的SIM卡只有14位数字或12位数字。这主要是省略了前六位中国移动在国际上的受话代码和网号所致。
    LOCI是位置信息,存储临时移动用户识别符、位置区信息等内容,即TMSI的内容。其中包含LAI,是最近一次位置登记时的手机所在位置区识别号,就是记录了最近一次联系的基站信息。当MS(即移动台,你的手机)再次与网络联系时,网络需要读取这个信息,以便确定MS的位置是否变化,特别是运动当中需作修正,否则通话会受影响。
    BCCH是广播控制信道。由于BCCH的存储,在选择小区时,MS可以缩小对BCCH载波的搜索范围,尽快连接上。所以,在第一次开机时需要很长时间的网络搜索,而同一位置再次开机时,几乎没有做搜索。
    LOCI、BCCH动态保存在(ELF补丁)EEP的5402块中。
[六]一个实验
    准备好一个实体一卡多号SIMMAX卡(我用的是金鱼卡12in1),用SimEasy做一个特殊的DAT文件写入。
    特殊之处:IMSI是联通卡的(是否有效没关系),而ICCID、Ki、SMSP(信息中心)是一个有效移动卡139解密得到的,两者拼合。ICCID、SMSP可以直接读出,不需解密。
    拼合过程如下:先打开移动卡139的DAT,将IMSI改为一个联通卡130的,保存。再用SimScanner写入卡中,卡中还要有移动卡139的号。
    将SIMMAX卡放入手机中(任何GSM手机均可),选139号,完成整个鉴权过程,出现中国移动字样。此时进入选号,选中130号,自动重启,130号能正常使用,打个电话试试,号码是139号。不能接电话,如要接电话进行如下操作:打开来电等待,打10086,就可以在通话中接电话了。一旦139号在其他手机中进行主叫,立即会失效,出现卡片被拒绝或无网络可使用。
    如先选中130号,将出现手机无法使用的信息,不同于卡片被拒绝的信息,无法使用。
    以上过程原理是这样的:先使用139号,获得TMSI和Kc,存于SIMMAX卡。重启选择130号后,手机根据ICCID自动选网进入移动网而不进行清零覆盖。在很短时间内,TMSI和Kc仍然有效,所以被移动网认可为139号。主叫时直接使用TMSI和Kc所以有效,被叫时却是无法连接;但在通话中被叫,不做身份认证,直接连接。由于IMSI和ICCID不匹配,出现手机无法使用的提示。当要求用IMSI进行鉴权时就会露馅,被移动网拒绝。
    ICCID的作用:ICCID就是SIM卡的卡号,被手机用作不同SIM卡的识别。在用SIMMAX写入卡后,只要是同一个ICCID就会认作同一个SIM,你在写卡时会体会到。本技术就是利用了这点,相同ICCID就是同一个卡,手机就不进行TMSI的覆盖。ICCID对手机,就象IMSI对网络,作为唯一的身份识别。
    手机换号短暂重启,相当于网络暂时中断,这是移动网络所允许的。相当于基站覆盖过渡或暂时进入屏蔽区,此时只需要TMSI经Kc加密的认证,而不要IMSI。
[七]ELF一卡多号使用体会
1.一天中第一次使用139号会出现长时间的网络搜索,这就是鉴权过程。当转到另一个号135时,139号打不进来。当短时间内再转到139号时,网络几乎不作搜索。这就是补丁保存了LOCI、BCCH、Kc的好处。这是ELF补丁的一大突破。
2.将5402保存到文件后,在0:\MISC\里会产生5402.bak文件。在Preferences菜单中打开5402.txt,就可以看到最新的LOCI、BCCH、Kc数据。
    但如果你使用135号,然后从文件更新139的5402.txt(进行编辑,将139号复制到135号对应处),并不能变成139号。因此,并没有达到上述实验的效果。
    当物理SIM卡在不同运营商间转换时,不能自动搜索到网络。这一点与6688一卡多号相同。
    5401中IMSI和Ki必须对应,也达不到SIMMAX实验效果。
    上述三点,个人认为是没有使用ICCID引起的。其源头还是康大最初设计时,将ICCID跳过了的原因,造成后续开发都抛开了ICCID。
3.用Siemens_EEPROM_tool可以读出手机中的5401~5403块。正常关机时,5401.eep~5403.eep是相同的,都是13H个门号(即19个)。而拔电池读取时,三个是不相同的,内容与正常关机时也不相同。
4.安全问题。手机里保存有5401.TXT,显然是很不安全的。实际上,当MultiSim.elf将5401~5403导入后就可以直接删除了,不会影响正常使用。但是,仍然可以在Preferences菜单中进行保存,从而又可以看到5401.TXT了,并且当场可以用短信或彩信发送出去。所以,应该屏蔽multisim.vkp、MultiSim.elf中保存5401的功能才安全,这个修改应该是很简单的。当然,这是防小蟊贼,大蟊贼是防不住的。除非像6688中将IMSI、Ki进行加密。
5.这个补丁的最大功能应该在临时复制SIM卡上,现已实效。见:http://mobile.0110.cn/viewthread.php?tid=374660&extra=page%3D1
6.希望大家继续共同探索,本人认为这是个有特异功能的补丁。</div>
Powered by BBSXP 2007 ACCESS © 1998-2024
Processed in 0.02 second(s)