晶创梯控滚动码分析

csx

这里以晶创7系统举例，567三个系统滚动码的逻辑基本上是一样的
tip：原卡，这里解释为滚码与电梯梯控系统同步的卡（也就是正常状态的卡片）；复制卡，这里解释为从原卡复制而来的卡片，滚码不与电梯梯控同步；发卡，这里解释为卡片滚码初始化。
必备知识：
1.晶创的滚码属于一卡一码的，不是按时间轮换的（应该是跟卡号有关系）。经过测试，滚码最多最多能有5次左右的容错空间（也就是原卡或复制卡同时使用，刷5次左右，都能用）
2.刷卡时，蜂鸣器一长两短的声音代表滚动码错误；短三声是卡片过期了。
3.晶创7系统的滚码位是 3扇区 1区块 第1-7字节。后面的8-16字节是用于判定卡权限的（管理卡or用户卡or功能卡）。

这里先说一下晶创的滚码逻辑：
每次刷卡，梯控会先读卡获取滚码，然后跟储存器里面的写卡记录去对比，如果你的滚码与上一次梯控给你写入的一样，就会再写入一次滚码，然后覆盖（更新）储存器里面当前卡的滚码记录，判定为刷卡成功（蜂鸣器 滴）；如果滚码对不上，那就判定为读卡失败（蜂鸣器 一长两短）。
那么对于刚发的卡，也就是梯控里面没有数据/更新之后的卡片该怎么办？
梯控为了避免这种新发卡/更新卡被判定为失效卡的情况，他会有一个判断机制。也就是说，当卡片内的滚码是某一组指定的数据时，梯控就会无条件认为此卡有效，且覆盖之前该卡片的刷卡记录，重新开始。
实际上这是滚动码梯控的一个小漏洞，当然现在也有不依靠滚动码数值判定是否为新发卡的梯控了（据说晶创9貌似就很难）


下面来分析：
先看数据
3扇区
0 区块: 00 00 00 00 00 CF B4 00 00 00 00 00 00 00 00 00
1 区块: 87 33 23 72 06 02 57 00 00 00 00 00 00 00 00 00
2 区块: 00 00 00 00 00 00 00 00 00 00 00 00 14 67 39 6F
3 区块: F8 9C 86 B2 A9 61 FF 07 80 69 F8 9C 86 B2 A9 61


3扇区1区块1-7（即标红部分）就是卡片的滚动码位。这是目前我正常使用的原卡。
滚码基本就是毫无逻辑，每刷一次卡，这堆数字都会变。
so，如果你是单纯的想要复制，请使用GUID卡进行复制，可以复制很多张GUID，但是这张原卡你不能继续使用了，如果使用原卡，复制卡全部报废。（血泪经验）


当时也是刚研究这玩意，复制完原卡复制卡一起刷，结果干报废了，只能拿去物业重新发卡。
发卡之后聪明了，直接把发卡之后的卡片读取保存一份，这时发现数据如下：

3扇区
0 区块: 00 00 00 00 00 CF B4 00 00 00 00 00 00 00 00 00
1 区块: 00 00 00 00 01 02 03 00 00 00 00 00 00 00 00 00
2 区块: 00 00 00 00 00 00 00 00 00 00 00 00 14 67 39 6F
3 区块: F8 9C 86 B2 A9 61 FF 07 80 69 F8 9C 86 B2 A9 61

哦莫，可以看到，发卡的卡片滚码呈现出莫名的有序，当时还是不太确定，正好赶上小区卡更新（说白了就是更新卡片有效期，不交物业费就不给你更新），用家里人更新的卡读取了一下，滚码也是这样的。
当天又借来了小区保安的新卡读取了一下，数据如下：

3扇区
0 区块: 00 00 00 00 00 02 42 00 00 00 00 00 00 00 00 00
1 区块: 00 00 00 00 01 02 03 FF FF FF FF FF FF FF FF FF
2 区块: 00 00 00 00 00 00 00 00 00 00 00 00 BA 01 67 99
3 区块: F8 9C 86 B2 A9 61 FF 07 80 69 F8 9C 86 B2 A9 61


其实到这里就可以看出，晶创7的滚码初始值就是00 00 00 00 01 02 03
后续用CUID测试，只要是初始值，卡片均不会失效。


顺便说一下对管理卡的猜测：
在3区1块，滚码后面的位置，从我上面的数据分析中不难看到，用户卡的话，14位滚码之后都是0；而对于管理卡，后面都是F。这里可能就是对卡片类型的一个判断。如果修改卡，不要忘记更改。
用过晶创的发卡软件，是可以发用户卡、管理卡（全通卡）、功能卡（读数据、改梯控日期、开关指定卡片等等）这三类。这三类而且都可以设置时间限制、次数限制的，估计也是在这堆F上实现的。


3扇区
0 区块: 00 00 00 00 00 CF B4 00 00 00 00 00 00 00 00 00
1 区块: 87 33 23 72 06 02 57 00 00 00 00 00 00 00 00 00
2 区块: 00 00 00 00 00 00 00 00 00 00 00 00 14 67 39 6F
3 区块: F8 9C 86 B2 A9 61 FF 07 80 69 F8 9C 86 B2 A9 61


2区的数据（绿色部分），就是目前最难搞出来的校验码了。综合了卡号、卡号XOR、卡类型、时间、电梯与楼层、园区码 这些数据，目前暂时无解。


晶创卡不同小区不通用的原因：园区码

1扇区
0 区块: 40 28 17 00 00 00 00 00 00 00 00 48 30 27 12 00
1 区块: 00 00 15 09 E4 07 00 00 3B 17 1E 0C E6 07 00 00

紫色：发卡编号（不参与计算校验）
红色：园区码 这玩意好像是晶创独有的吧，贼恶心人，软件设置不了，固化在发卡器里面的（参与校验）
橙色：日期，倒8位算法（参与校验）

所以目前对于晶创，能做的可能只有复制和初始化了，什么楼层梯号日期，改一个 校验都会变 刷卡直接失败