Прежде всего вопрос: существуют ли спец - коды домофонов для открытия дверей спец-службами? Правильный ответ: нет, в современных домофонах таких кодов нет (кроме Барьера IIМ). Зато есть забывчивость инженеров, которые как правило не меняют мастер - пароли при установке.
Как открыть домофон «Факториал»
Система этих домофонов похожа на Цифрал. Вход в сервисное меню происходит после того, как набран 6-тизначный код домофона Факториал. Обычно это 000000 или 123456. Однако установщики утверждают, что взлом домофона Факториал практически невозможен хотя бы потому, что код домофона Факториал при установке меняется в обязательном порядке – такова одна из обязательных сервисных установок. Но можно попробовать вот такую комбинацию – нажать клавишу «5» до появления сервисного сообщения на экране (3-5 секунд), затем набрать 180180 + клавиша вызова + 4 + клавиша вызова.
Как открыть домофон Blink
Это единственный однопользовательски аудиодомофон, широко распространённый на российском рынке. У него нет ни экрана, ни цифровой клавиатуры и устанавливается он обычно в домах с консьержем или в частных коттеджах. Поэтому сервисные комбинации тут не помогут. Поможет обычная батерейка Д9-0,1 – «Крона», «Корунд» и им подобные. Европейский тип такой батарейки – 6F22. Итак, находим под нижней панелью фальшболты странной формы – они в точности соответствуют разъему «Кроны». К ним прикладываем батарейку – и вуаля, домофон открыт.
Взлом домофонов Барьер II и IIM
Помните, это такие старые "советские " домофоны с механическими замками и плоским магнитным ключем? Для 2М существует несменный код открытия - 1013. Но они редко встречались тогда, а сейчас тем более. Вообще эти домофоны открывались 2-мя магнитиками, например из разобранного ключа. Просто возишь ими по ключ-площадке до срабатывания.
Барьер - 4
То же, только без кнопок (однопользовательский, расчитан на парадные с консъержами). В ключе 3 магнита.
Коды домофонов VIZIT
Общее замечание: Если на клавиатуре * и # нет, вместо них C и K. С — * K — #.
Бездисплейные модели со светодиодами (SM/M/N 100-200):
Если стандартные настройки не меняли то код *#4230 или код 12#345 приводят к открытию домофона.
В свеже установленных домофонах вероятны коды *#423 и 67#890
Можно войти в сервисное меню:
#999-пикнет 2 раза-(мастер код, по умолчанию 1234)-пикнет 1 раз. Если код не правильный то пиликнет двух тональным сигналом. Мастер код может быть 1234, 6767, 3535, 9999, 12345, 0000, 11639.
Далее:
2 + # + 3535 Открытие домофона.
3 — Программирование ключей для входа. (Приложить ключь + #, дождаться писка + *).
4 — Стирание ключей из памяти.
* — Выход из режима.
# — Подтверждение установки.
Для домофона ВИЗИТ БВД-3xx (без дисплея и светодиодов), (с правосторонним или центральным расположением таблетки)
открытие двери - в меню нажать 1.
Не всегда работает в БВД-34х (с левосторонним приемником)
Для них уточняется.
Коды домофонов Cyfral
Для открытия двери пробуем:
a) Если в подъезде есть квартиры с номерами 100, 200, 300, 400 и т.д., то можно попробовать ввести коды :
звонок {код 1} звонок {код 2}
где код 1= "круглому номеру квартиры" (100...900),
код 2= 2323 или 7272 или7273.
Для других моделей домофонов (с буквой "М") подходит код :
"В" 41 "В" 1410. Иногда помогает просто ввести 07054.
Домофон CCD-2094.1М (горящая или мигающая черточка на дисплее) - набираем код В+0000 либо открытие сразу, либо сервис меню (надпись ON) - тогда нажать 2. Либо, надпись OFF - тогда увы, режим быстрого доступа выключен.
Коды домофонов Cyfral CCD-2094M
Код 0000 "В" + пауза 2 секунды. Появляется надпись "cod". Вводим код 123456+"В" или 456999+"В" (редко 123400+"В"), пауза 2-4 сек., надпись "f0". Открыт доступ в меню. Для быстрого открытия достаточно нажать код 601.
Если мы хотим приходить регулярно, можем записать в память домофона Cyfral свой ключ. Нажимаем звонок и держим до появления надписи, затем вводим код 123456 (или код 123400). Попали в сервис-режим. В сервисном режиме нажать 5, затем ввести номер существующей квартиры, домофон напишет TOUCH прикладываем ключ — он в памяти. (Для моделей с плоскими оптическими ключами вместо номера квартиры набрать 600, вставить ключ и нажать вызов).
Коды домофонов Eltis
Как правило коды открытия:
"B" 100 "B" 7273
или
"В" 100 "В" 2323
Но если не работает, можно попробовать другие варианты от Cyfral.
Коды домофонов МЕТАКОМ
Нажимаем вызов, потом номер первой квартиры в подъезде, снова вызов (высветится "COD"), потом код 5702... Если не сработает - тогда пробуем коды : 65535+"В"+1234+"В"+8 или или 1234+"В"+6+"В"+4568.
Только для домофонов МК-20 М/Т коды:
"В"+27+"В"+5702
или "В"+1+"В"+4526
И еще про домофоны МК-20 М/Т: В их прошивке нет и не будет защиты от мастер-ключей. Даже не зная сервис - пароля, если поднести таблетку-болванку, домофон войдет в режим прграммирования автоматически!
Коды домофонов Rainmann
Для моделей Rainmann 2000 и тех, у кого на дисплее горит точка слева.
Кнопку «ключ» + 9 8 7 6 5 4. Должен послышаться двойной писк. Затем вводим код 1 2 3 4 5 6 , появится буква "P". Вошли в меню. Далее:
4 — Блокировка двери.
6 — Выключение домофона.
8 — Открыть дверь.
Коды домофонов DomoGuard
Длинное нажатие на "С", он пискнет.
Потом быстро вводим код : 669900, + кнопку звонка + номер на единицу больше, чем последняя квартира в подъезде. На дисплее должно быть "F---".
Попали в меню.
Открыть дверь - код 080
Запомнить новый ключ - код 333
Отключить блокировку дверей - код 071
Взлом домофона Blink
Единственный однопользовательский домофон в списке. Он без экрана, без клавиатуры, с механическим запором. Ставится в домах с консъержем, поэтому взлом его имеет смысл только ночью. Находим на нижнем срезе панельки фальшболты непривычной формы. Это контакты резервного питания. При подаче на них 9 вольт (а они как раз под ширину контактов "Кроны"), домофон открыт.
Код домофона T-Guard
Код "В"+00000+"В"В" (последние два нажатия - быстро!) - дверь открыта.
Некоторые общие замечания по взлому домофонов:
Зимой на домофоны с сенсорной клавиатурой (DomoGuard, Rainmann ) действует переохлаждение. Берем нормальный комок снега, и прислоняем к клавиатуре. Когда на дисплее появится надпись "Err"(10-20 минут), домофон разблокирует замок.
Многие мастера изменяют код установщика (пароль) с установленного по умолчанию (код процессора) на другой. Делается это обычно для того, чтобы никто другой не мог изменять настройки домофона.
Теперь, чтобы войти в режим программирования, надо набирать новый код... Старый был изменён и не действует.
Никакие коды не подходят, что же делать? Спокойно. Если домофон с магнитным запором (не с механическим!), то одну ногу ставим туда где открывается дверь и сильно тянем за ручку. При рывке дверь открывается, но ничего не поломано.
Для регулярных визитов:
Ловим момент, когда дверь домофона открыта и наклеиваем на магнит несколько слоев скотча. При этом, оставляем небольшой участок поверхности для контакта. На первый взгляд домофон работает как обычно, но стоит лишь посильнее потянуть дверь и вуаля, она открыта.
Тук тук, домофон откройся.
Q: Как сделать клон трубки?
A: Открой корпус трубы, тама стоит нескока джамперов, которые устанавливают номер квартиру, в коророй установлена трубка (актуально для Rainkman).
Q: Как войти в сервисное меню домофона Cifral?
A: Нажать любую цифру и держать до появления надписи, затем ввести инженерный код.
Q: Как войти в системное меню домофона Cifral?
A: Нажать звонок и держать до появления надписи, затем ввести инженерный код.
Q: Как войти в сервисное меню домофона Rainmann (Rainmann 2000 etc. и другие)?
A: Нажимаешь кнопочку «ключ» и вводишь 9 8 7 6 5 4 , должен послышаться двойной звуковой сигнал. Затем вводи 1 2 3 4 5 6 , появится буква P. Ты вошел в систему управления домофоном. Теперь запоминай:
1 — Расширенные настройки домофона, советую самому там не копаться, а просто войти в эту менюшку, и идти попивать пЫво неподалеку. Озадаченные жильцы сделают все за вас.
2 — Обычные настройки домофона.
3 — Подача сигнала.
4 — Блокировка двери.
5 — ????
6 — ???? (домофон виснет)
7 — ????
8 — Открыть дверь.
9 — ????
Это действует если только настройки не трогали, вместо 987654 может быть другой код.
Пашет на домофонах где на экранчике точка стоит слева.
Q: Как войти в сервисное меню домофона VIZIT?
A: #999-пикнет 2 раза-(мастер код, по умолчанию 1234)-пикнет 1 раз
если код не правильный то пиликнет двух тональным сигналом
значения кнопок:
1 — ???
2 — Установка индивидуальных кодов для квартир.
3 — Программирование ключей для входа.
4 — Стирание ключей из памяти.
5 — ???
6 — ???
7 — ???
8 — ???
9 — ???
* — Выход из режима.
# — Подтверждение установки.
Q: Как войти в сервисное меню домофона Eltis?
A: Также как в Cifral.
Q: Как войти в сервисное меню домофона МЕТАКОМ?
A: На клаве набирай 65535 В (или #) далее 1234 В (или #) если все нормально то на дисплее появится [ ].
На клаве набираем 65535 В (или #) на дисплее пишет COD далее 1234 В (или #) если принял то на дисплее [ ] , что осначает что вы в сервисном режиме. Под 1234 подразумевается мастер код который теоретически ты знаеш. Если код не подходит то курим или начинаем заниматься брутом пароля.
Допустим этот этап пройден и ты вошел в сервисный режим, на дисплее [ ] .
Тперь тыкаем # (или В) появляется _ _ _ это означает что ты в абонентском режиме. Набирай номер квартиры для которой хочеш закодировать ключик, рекомендую на 6 больше чем номер последней квартиры в этом подъезде например последний 120 а ты вводи 126, теперь тыкаем # (или В), у номера набраной квартиры появляется точка 126. из примера. Далее жмеш кнопку 7, точка возле номера пропадает 126 прикладываеш ключ который хочеш прописать. На некоторое время моргнет - t -, ключик прописался.
Q: Как на время вывести из строя домофон с ключом-таблеткой?
A: Берем пьезу из электрической зажигалки, и даем разряд в приемник ключа, помогает редко, лучше использовать шокер.
Q: Как обнулить память домофона?
A: Для этого надо найти откуда запитан домофон, обычно в щитке на первом этаже, там есть небольшой блок, он обычно очень хорошо спрятан, обнулить его просто дайте на 1, 6, 8 и 12м когу +1,5 вольта а -на 2 ногу и память домофона будет чиста как у младенца.
Но специалист восстановит это за 5 минут.
Также там есть COM-порт, но как его использовать неизвестно.
Q: Как открыть дверь домофона Cifral?
A: Если в подъезде есть квартиры с номерами 100, 200, 300, 400 и т.д., то можно попробовать ввести:
звонок 100 звонок 7272
звонок 200 звонок 7272
звонок 300 звонок 7272
звонок 400 звонок 7272
звонок 500 звонок 7272
звонок 600 звонок 7272
звонок 700 звонок 7272
звонок 800 звонок 7272
звонок 900 звонок 7272
звонок 100 звонок 7273
звонок 200 звонок 7273
звонок 300 звонок 7273
звонок 400 звонок 7273
звонок 500 звонок 7273
звонок 600 звонок 7273
звонок 700 звонок 7273
звонок 800 звонок 7273
звонок 900 звонок 7273
Q: Как еще можно открыть Cifral?
A: ВЫЗОВ 41 ВЫЗОВ 1410
Или просто ввести 07054. Иногда помогает.
Q: Как можно открыть домофон Eltis?
A: B 100 B 7273
В 100 В 2323
Также можно попробовать варианты от Cifral.
Q: Как открыть дверь домофона VIZIT?
A: Если стандартные настройки не меняли то *#4230 и дверь откроется.
Еще иногда помогает 12#345.
Q: Как войти в системный режим домофона VIZIT?
A: Для входа в системный режим нужно соеденить выводы кабеля «ПРОГРАММИРОВАНИЕ» чаще всего для этого нужно снимать весь блок с двери, потому как данные ваводы не выводят в щиток.
Q: Чем отличаются сервисный и системный режим?
A: Сервисный и системный режимы разные. Если снять блок с двери и включить системный режим то можно поменять все. Даже мастер код для входа в системный режим.
Q: Как записать в память домофона VIZIT свой ключ?
A: В режиме програмирования нажмите 3, затем номер хаты, приложите ключ, нажмите # а потом *
Q: Какие коды по умолчанию ставят в домофоны?
A: 1234, 6767, 3535, 9999, 12345, 0000, 11639 (VIZIT).
Q: Как открыть МЕТАКОМ?
A: В сервисном меню нажать 8. Также помогает В (или #) 1234567.
65535-В-1234-В-8 или В-1-В-5702 или В-6-В-4568.
Нажать вызов, потом номер первой квартиры в подъезде, снова вызов(высветится "COD"), потом 5702... Дверь открыта!
Q: Сколько мастер ключей может быть у домофона МЕТАКОМ?
A: Только 1.
Q: Можно ли ключи от домофона магнитом убить, или хоть покалечить?
A: Нет, нельзя.
Q: Как сменить системный код в домофоне Cifral?
A: В режиме програмирования 1 (p----) и вводи новый пасс.
Q: Существуют спец-коды домофонов для открытия дверей спец-службами?
A: Нет, таких кодов нет.
Q: Как записать в память домофона Cifral свой ключ?
A: В сервисном режиме нажать 5,затем ввести номер квартиры, домофон напишет TOUCH прикладываем ключ — он в памяти.
Q: Как стереть ключ-таблетку из памяти домофона Cifral?
A: В сервисном режиме нажать 5, затем ввести номер квартиры, на которую подключен ключ, затем нажать 9.
Q: Как записать в память домофона Cifral оптический (плоский с дырками) ключ?
A: В системном режиме нажать 5, затем ввести номер ячейки ключа (1, 2, 3), вставить ключ, нажать на звонок.
Q: Как сменить общий код домофона Cifral?
A: В сервисном меню нажмите 2, затем введите новый код, если код короче 4 цифр, то после ввода нажмите звонок.
Q: Как сменить индивидуальный код домофона Cifral?
A: В сервисном меню нажмите 3, затем номер квартиры, звонок, введите новый код, звонок, затем пойдет вызов, абонент должен будет дважды нажать на кнопку звонка.
Q: Как отключить абонента домофона Cifral?
A: В сервисном меню нажмите 4, затем 0, затем номер квартиры, затем звонок.
Q: Как подключить абонента, которого отключили от домофона Cifral?
A: В сервисном меню нажмите 4, затем 1, затем номер квартиры, затем звонок.
Q: Какие настройки по умолчанию домофона Cyfral CCD-2094M?
A: Код доступа в режим изменения параметров и настроек 123456.
Общий код 1234.
Номер таблицы индивидуальных кодов 000.
Номер первого абонента 1.
Кол-во абонентов, подлежащих обслуживанию 100.
Длительность сигнала Z 1.
Режим пользования общим кодом ВКЛ.
Режим пользования индивидуальным кодами ВКЛ.
Абоненты ВКЛ/ВЫКЛ.
в список обслуживания Звуковой сигнал №3.
Оповещение абонента об открывании двери индивидуальным ключом ВКЛ.
Q: На домофоне VIZIT клавишь * и # нет, что делать?
A: Есть C и K. С — * K — #.
Q: Существует ли системное меню у старых домофонов (с ключом-«палкой»)?
A: Нет.
Q: Как еще можно открыть двери домофонов?
A: Попробуйте закоротить лампочку на подъездном освещении, иногда помогает.
Одну ногу ставим туда где открывается дверь и сильно тянем за ручку при рывке дверь открывается.
Прижимаешь любой ключ от другого домофона и вводишь 8082 ключ 5454
На рабочем домофоне горит одна точка. Затем нажми на кнопку с изображением ключа, на мониторе появится "---", вводи 987654 (слышится двойной звуковой сигнал), затем вводи 123456. Если на мониторе появилась буква "Р", значит, ты благополучно взял домофон под свой контроль. Теперь ты должен определить цель своей работы. Если тебе просто нужно открыть данную дверь, нажимай цифру "8", и дверь откроется.
Q: Как открыть домофоны с сенсорной клавиатурой
A: Пока зима, на домофоны с сенсорной клавиатурой действует суперская штучка. Берем нормальный комок снега, и прислоняем к клавиатуре Ждем, пока на дисплее появится надпись "Err" , заходим
Q: Как открыть VIZIT БВД-342
A: В меню я вошел (набрал #999) на экране появляется 1--2 нажимаешь 1 вроде входит.
Мутим ключ от домофона
Как обмануть домофон компании Cyfral
Ты не силен в программировании микроконтроллеров? Ты не смог сделать дубликат ключа, как учил тебя «Хакер»? Твоя подруга смеется над тобой, когда железный болван-домофон не пропускает тебя? Не унывай — «Хакер» в очередной раз найдет для тебя решение, позволив проникнуть сквозь неприступные двери под звуки музыки.
А как же ключ от всех дверей?
В сентябрьском номере за прошлый год «Хакер» уже рассказывал о том, как самому изготовить универсальный ключ от домофонов. В качестве основной части нашего девайса мы тогда использовали хитрый микронтроллер. Но всякому ли крутому перцу охота ковыряться в ассемблере и отладчике, а также корпеть над столом с паяльником, когда за окном лето/пиво/друзья/девушка (нужное подчеркнуть)? Тем более что все чаще на просторах нашей родной страны встречаются странного вида ключи, у которых не в пример обычным вовсе нет заветного номера (как ты понимаешь, нужного для того, чтобы снять с него копию по нашему методу), зато есть загадочная надпись «Cyfral». Не будем темнить и скажем сразу, что Cyfral — это отечественный продукт, так сказать, наш ответ Чемберлену. Уделим же внимание этому девайсу и попробуем на прочность этот орешек…
Экскурс в теорию, или практика потом
За последние несколько лет идентификаторы Touch Memory DS1990 от фирмы Dallas Semiconductor заняли лидирующее место на рынке систем контроля доступа. Малогабаритные, выполненные в прочном металлическом корпусе, они смогли удовлетворить практически все запросы российских потребителей. В общем, чего рассказывать: каждый видел эти «таблетки» сотню раз. Впрочем, подделать такой ключ оказалось очень просто: достаточно было лишь считать код, зашитый в ключ-идентификатор. В 2000 году компания «Цифрал» разработала и запатентовала собственный цифровой электронный идентификатор Touch Memory Cyfral DC-2000. Отечественная разработка была призвана устранить ряд недостатков. Она была проста в производстве, и ее быстро освоили отечественные предприятия.
В документации к контактному цифровому ключу DC-2000 (Touch Memory Cyfral) приведено следующее описание его работы: «Корпус DC-2000 аналогичен по конструкции и размерам корпусу Dallas DS1990. Он сделан из нержавеющего металла. Диаметр диска около 17 мм, толщина 5,89 мм. Полый внутри диск состоит из двух электрически разъединенных частей. В герметичную полость помещена электронная схема на кремниевом кристалле. Выход схемы соединен с половинками диска двумя проводниками. Ободок и донышко представляют собой земляной контакт, а крышечка выполняет функцию сигнального контакта.
Микросхема DС-2000 работает по собственному уникальному протоколу. При контакте со считывающим устройством DС-2000 начинает выдавать циклические кодовые комбинации, состоящие из стартового и восьми информационных слов. Стартовое слово отличается от информационного количеством единиц: три единицы подряд и один ноль. Информационное слово - одна единица и три нуля.
Положение единицы в каждом информационном слове программируется индивидуально на этапе изготовления микросхемы ключа DС-2000. Примененная технология позволяет получить аж 65536 кодовых комбинаций! Выдача кодовой комбинации происходит посредством изменения тока потребления микросхемы ключа с фиксированным периодом. Причем длительность импульса для состоянии «лог.0» и «лог.1» различна, как показано на временной диаграмме.
Так как при чтении данных из ПЗУ в любой момент возможно нарушение электрического контакта считывающего устройства с корпусом прибора, то необходимо контролировать целостность считываемых данных. Для этой цели кодовая комбинация считывается из ПЗУ три раза подряд и сравнивается считывающим устройством (персональная ЭВМ, микропроцессорный контроллер). В том случае, если коды совпали, серийный номер считан верно. В противном случае выполняется повторное чтение данных».
Проще говоря
Иными словами, как только мы вставим ключ в приемную лузу, он будет тарахтеть в нее кодом до тех пор, пока мозги домофона не решат, что код правильный, и не откроют нам желанный Сезам. В принципе опять же можно было бы с помощью микроконтроллера сваять эмулятор, но у нас есть способ проще и интереснее!
Поскольку домофон «Цифрал» только слушает ключ-идентификатор и вообще не использует какой-либо протокол обмена, путь для обхода весьма и весьма прост. Следует лишь записать тарахтение ключика, а потом воспроизвести эту запись домофону.
К несчастью, лобовое решение – магнитофон – тут не подойдет. Коэффициент детонации популярных китайских проигрывателей таков, что даже не обладающий музыкальным слухом домофон тут же заметит лажу. Что там у тебя еще есть из звукозаписывающей техники? Ну компьютер со звуковухой есть наверняка! Значит, можно записать тарахтение ключика и потом просто зажечь ее на CD. Воспроизвести запись не проблема, например, через портативный CD-плеер, который точно имеется в наличии у каждого второго твоего знакомого. Впрочем, даже если вдруг CD-плеер ты не разыщешь, сойдет и цифровой диктофон или сотовый телефон. Правда, мобила подойдет не всякая, но об этом мы расскажем далее.
Перейдем к делу: слушаем ключик
Для записи «музыки» ключей «Цифрал» нам понадобится источник питания 2,4-5 В. Можно использовать блок питания компьютера, но высока вероятность того, что он добавит в нашу запись ненужные шумы и тем самым испортит «произведение». Поэтому лучше запастись двумя любыми батарейками, которые в сумме обеспечат нам 2,4-3 В. Для тех, кто в танке, напомним, что питание +5 В можно получить как от разъема USB-порта, так и от некоторых GAME-портов, подавив шумы компьютера простейшим фильтром из дросселя и конденсатора. Далее, нам будет нужно сопротивление номиналом 1,5-2,2 кОм любого вида и исполнения. Из этих комплектующих собираем очень сложную схему из трех элементов для прослушивания нашего ключика.
Такая штука точно не помешает в кармане.
В зависимости от номинала сопротивления и напряжения питания схемы, амплитуда «цифровой музыки» составит 0,3-0,5 В на уровне постоянной составляющей 1,0-1,5 В, что позволит подать этот сигнал непосредственно на линейный вход звуковой карты.
Если в наличии имеется только микрофонный вход, как это бывает у некоторых моделей ноутбуков и у сотовых телефонов, схему придется усложнить, добавив делитель напряжения из двух резисторов, один из которых переменный. Манипулируя ручкой переменного резистора R3, следует обеспечить на микрофонном входе амплитуду сигнала порядка 0,5-1,2 мВ.
Далее включаем свой любимый звукозаписывающий софт. Лучше, конечно, что-нибудь типа Cool Edit (www.syntrillium.com), Sound Forge (www.sonycreativesoftware.com) или хотя бы Total Recorder (www.highcriteria.com). Подойдет все, что имеет виртуальные индикаторы уровня записи и позволяет на глаз выставить уровень записываемого сигнала без перегрузок звукового тракта карты. …Ну, на нет и суда нет! Можно использовать и обычную «Звукозапись» из стандартного набора Windows, хотя в этом случае, возможно, придется сделать несколько записей, чтобы подобрать приемлемый уровень.
В используемой программе выбираем источник сигнала (тот, куда мы подключились: «Микрофон» или «Линейный вход»), после чего записываем обыкновенный звуковой файл с расширением WAV с параметрами: PCM 44100 Гц, 16 бит, моно длительностью 1-2 минуты без применения какой-либо компрессии сигнала. В принципе для домофона хватило бы и 5 секунд, но такой запас просто позволит в нужный момент действовать без излишней суеты. В случае если ты хочешь сделать запись при помощи мобильника, нужно позаботиться, чтобы тот умел захватывать звук через гарнитуру. Тут, конечно, придется отрезать сам микрофон от гарнитуры, а если жалко — спаять отдельный провод с разъемом и прицепить его к выходу делителя. Но это реально!
Двигаемся далее
Итак, искомый файл или несколько WAV-файлов от разных ключей получены! Самое время прожечь их на компакт-диск в виде музыкальных файлов cda, в чем нам поможет всем известная Nero (www.nero.com) или любая другая аналогичная программа. Можно записать и просто как WAV-файлы, если CD-плеер поддерживает такой формат. При записи в формате mp3 кодовая информация может быть утеряна в процессе сжатия, в этом случае надо выставить опции максимального битрейта и максимального качества формируемого mp3-файла. В окне Cool Edit форма сигнала при этом остается неискаженной, но, как это воспримет домофон, я не в курсе. Если при записи в мобильник применяется алгоритм сжатия с потерями, затеянный фокус, скорее всего, не удастся, но попробовать все равно стоит. В крайнем случае WAV-файл можно сформировать на компьютере, а в мобилу затаскивать как качественный mp3 через Data-кабель, IRDA или Bluetooth. Количество вариантов здесь довольно велико, все зависит от используемой мобилы. Возможно, даже придется сваять простенький мидлет на Java. К счастью, даже в стандартной поставке J2ME Wireless Toolkit 2.2 beta 2 есть пример закачки и воспроизведения музыки в формате WAV. Если тебе это кажется нереальным, два готовых мидлета прилагаю. Тебе останется только раззиповать jar-файл, положить в архив свой WAV-файл ключа под именем my_key.wav (или my_key_X.wav, в папку audio), зазиповать все это обратно и должным образом втащить в мобилу. Сам файл ключа не должен быть очень большим – могут возникнуть траблы при закачке. Секунд 5-10 вполне достаточно, тем более что мобила будет проигрывать его непрерывно по кругу.
Пора действовать
Ну что, откроем пару дверок? Вместо наушников, припаиваем к шнурку с разъемом сопротивление номиналом 680-820 Ом для согласования со схемой считывающего устройства домофона «Цифрал». Оба канала стереофонического кабеля включаются параллельно, согласно приведенной схеме. Нагрузка величиной 680-820 Ом значительно превышает сопротивление распространенных наушников и выход плеера перегрузить не должна, если, конечно, кривые руки не спаяли что-нибудь накоротко, но производители чаще всего заботятся о дураках, и есть надежда, что в плеере или мобиле применена защита выхода от короткого замыкания.
Чтобы иметь некоторую уверенность в успехе, выход CD-плеера или мобильника должен развивать на нашей нагрузке переменный сигнал амплитудой не менее 0,5 В. Если есть возможность воспользоваться осциллографом, посмотри амплитуду сигнала на нагрузке. В противном случае придется покрутить регулятор выходного сигнала CD-плеера в полевых условиях у вожделенной двери. Впрочем, вероятность успеха весьма велика — у меня, например, безо всяких настроек дверь открылась сразу при максимальной громкости.
Программы типа Cool Edit и Sound Forge позволяют увидеть форму сигнала и без осциллографа. Можно также заюзать различные софтварные осциллографы, использующие железо звуковой карты. Количество таких программ, разбросанных на просторах Сети, весьма велико. В любом случае правильная форма записанного сигнала должна ориентировочно соответствовать приведенной на рисунке.
Если выбросы сигнала, указанные на рисунке цветными кружками, значительны и пересекают линию нулевого уровня, то, вероятно, запись сигнала придется повторить с другим уровнем записи или отредактировать сигнал вручную, уменьшив амплитуду выбросов. Но в подавляющем большинстве случаев необходимое качество WAV-файла достигается с первого-второго раза даже при весьма средних параметрах самой звуковой карты (я лично юзал древнюю ESS-1868).
Упрощаем отладку
Чтобы не торчать уйму времени у домофона, напоминая озабоченного террориста, для отладки можно использовать простенькую софтину CYF_KEY.COM, которая позволяет считывать коды ключей через LPT-порт компьютера.
Для аппаратного обеспечения программы необходима схема компаратора или триггера Шмитта, запитываемая от напряжения +5 В разъема USB-порта или GAME-порта. Подобные устройства в недавнем прошлом широко применялись в схемах популярных 8-битных компьютеров типа «Синклер», РК-86, «Орион», «Микроша» для ввода программ и данных, записанных на магнитофонные кассеты. Простая схема такого устройства приведена на рисунке. Если со сбором подобной схемы у тебя возникают траблы, можно попробовать обойтись более простой конструкцией, но в этом случае придется подобрать резистором R2 постоянное смещение на входе Busy порта принтера.
Программа CYF_KEY.COM использует прямое обращение к таймеру и портам ввода-вывода, поэтому запускать ее следует из-под голого DOS’а, благо небольшой размер программы позволяет ей поместиться на системной дискете. При правильном определении кодов ключей программа выводит их список, при сбоях или ошибках в сигнатуре ключей возможно отображение символа «E» (Error). Для того чтобы убедиться в работоспособности аппаратной части, программу необходимо запустить на двух разных компьютерах, соединив между собой их выходы Strobe с входами Busy и запустив одну из программ в режиме чтения ключа, а другую – в режиме эмуляции ключа из файла.
Неприятным обстоятельством может быть то, что где-нибудь на этапе создания или воспроизведения файла звуковой тракт инвертирует сигнал ключа. Шанс при современной аппаратуре очень небольшой, но кто знает, что там творят китайцы для удешевления своей продукции. В таком случае без звукового редактора не обойтись, поскольку сигнал перед записью придется инвертировать.
Наводим марафет
Для сопряжения с лузой лучше смастерить простую конструкцию, позволяющую не лезть к домофону с оголенными проводами в руках, да и не элегантно это. Поскольку на всю эту фигню мы не потратили пока еще даже и обрезка от бумажки с зелеными комиссарами, контакты ключа также можно выполнить в стиле «Xакера» из подручных материалов: картона, жести и любого суперклея.
При наличии прямых рук может получиться весьма симпатичный девайс. В любом случае ободок лузы — контакт общего провода (оплетки кабеля), а центральный круглый контакт — сигнальный.
К записи готов!
Включаем CD-плеер или мобильный телефон на воспроизведение файла ключа, уровень громкости максимальный. С уверенным (злым, глупым, коварным и т.д. – на выбор) выражением лица говорим волшебное слово: «Цифрал, откройся!», подключаем девайс к лузе домофона, и железный монстр с печальным звуком «Длиньк!» должен пасть! Можно, конечно, и без театральных эффектов, да и фраза – на твое усмотрение, но если уж решил поразить девушку, потренироваться следует заранее, особенно с уровнем громкости… CD-плеера (мобильника).
Напоследок
Разумеется, предложенный способ эмуляции ключей-идентификаторов «Цифрал» – самый простой. Заметим, что крутые перцы, владеющие языком программирования Java для мобильных устройств (J2ME) и обладающие навороченными смартфонами, могут сбацать универсальный ключ для любых систем, как Touch Memory Cyfral DC-2000, так и Touch Memory DS1990, без существенных аппаратных затрат исключительно программным путем, манипулируя сигналами COM-порта мобильника. Основное препятствие заключено в версии установленной в телефоне Java-машины, в том, имеет ли она развитые средства управления последовательным портом. В положительном случае аппаратно придется выполнить лишь несложные цепи согласования электрических уровней COM-порта мобильника и схемы считывания/эмуляции ключей Touch Memory.
Безусловно, все перечисленные в статье названия фирм, программных продуктов и торговых марок — неотъемлемая собственность их владельцев. Предоставленная информация нисколько не провоцирует на незаконные действия, а преследует цель указать фирмам и производителям на недостатки и дыры в их продукции, а также позволить всем простым смертным перцам (как фрикерам и хацкерам, так и не являющимся ими) не таскать с собой связки пластмассовых ключей и не рвать волосы на голове (или еще где-либо) в случае их потери. Как бы то ни было, сохрани в компьютере дубликаты, в экстренной ситуации не помешают!
Мутим ключ от домофона
Эмулятор ключей от домофона
Ты потерял ключи от домофона и не можешь сделать дубликат? Или хочешь ходить в гости к подруге, но железный домофон, висящий на ее двери, тебя не пропускает? Какая досада! Казалось бы, в такой безвыходной ситуации можно лишь пожать плечами. Ан нет, «Хакер» в очередной раз решает проблемы за тебя и предлагает смастерить универсальный ключ, способный покорить любой домофон.
Как это работает?
Темные люди думают, что в таблетках от домофона находится обычный магнит, который при контакте с замком открывает дверь. Это самое смешное и нелепое заблуждение, которое я когда-либо слышал. Ведь на самом деле таблетка представляет собой ПЗУ с жестко зашитым ключом. Эта память называется Touch Memory марки DS1990A. Таблетка «общается» с домофоном по шине One-wire (однопроводной интерфейс). Данная шина разработана фирмой Dallas, она позволяет общаться двум и более устройствам всего по одному проводу. Если устройство пассивное (как в нашем случае), то по шине передается также и питание по единственному проводнику. Кроме памяти, в ключе (таблетке) находится конденсатор на 60 пикофарад, который обеспечивает кратковременное питание на момент ответа. Ведущее устройство должно постоянно генерировать сигнал единицы для зарядки этого конденсатора, чтобы ПЗУ в таблетке продолжало питаться. Отбросив все умные термины, можно сказать просто: все, что необходимо для работы устройства, передается только по одному проводу. К слову сказать, шина 1-Wire оказалась столь удачной, что на ней организованы промышленные сети, в том числе и в нашей стране.
Организация шины One-wire
Тебе наверняка стало интересно, как таблетка взаимодействует с «базой», являясь пассивным устройством? Следует отметить, что парадом правит только мастер, то есть таблетка не способна генерировать какие-либо импульсы. Ее единственная возможность – удерживать шину в нуле (замыкать шину на землю через внутренний транзистор). Упрощенная схема ключа и домофона показана на картинках.
Если взглянуть на схему, то нетрудно заметить, что по умолчанию у домофона установлено напряжение +5 вольт, а-ля логическая единица. Для передачи логического нуля мастер через транзистор замыкает шину на землю, а для передачи единицы просто размыкает. Это сделано для того, чтобы обеспечить питание ведомого устройства.
Протокол взаимодействия
Мастер в ожидании присоединения таблетки постоянно, с некоторой периодичностью генерирует импульс RESET (сброс). Принимая этот сигнал, ключ дожидается его окончания и дает импульс PRESENCE (присутствие) определенной длительности. Если сигнал PRESENCE оказывается слишком длинным, то домофон понимает, что это короткое замыкание, и тупо отмалчивается. В противном случае мастер-девайс выжидает некоторое время и выдает команду на чтение ПЗУ, обычно это код семейства, в нашем случае 33H. Обрати внимание, как сделана передача нуля и единицы. В любом случае импульс «роняется» на землю, но если передается единица, то он быстро восстанавливается (это занимает около 1 микросекунды). Если же должен быть ноль, то импульс некоторое время «висит» на земле, затем возвращается опять в единицу. Это нужно для того, чтобы пассивное устройство постоянно пополняло энергию конденсатора, и на нем было питания. Далее домофон выдерживает некоторое время и начинает генерировать импульсы приема информации, всего 64 импульса (то есть принимает 64 бита инфы). Ключ лишь должен правильно сопоставить длительности. Если таблетка хочет передать ноль, то она удерживает шину некоторое время в нуле, если же нет, то просто молчит. Все остальное за нее выполняет домофон.
Содержимое ключа DS1990A.
Прежде чем мы перейдем к изготовлению эмулятора, нам придется рассмотреть содержимое памяти таблетки. DS1990A представляет собой восьми байтовое ПЗУ с информацией, записанной лазером.
В младшем байте содержится код семейства. Для DS1990A он всегда будет равен 01H. В шести последующих байтах содержится серийный номер ключа (та самая информация, позволяющая открыть дверь). Последний байт называется CRC — это контроль четности, обеспечивающий подлинность переданных данных. Он вычисляется из семи предыдущих байт по весьма сложному алгоритму.
Физическое устройства ключа.
Наверное, все вышесказанное отбило всякое желание заниматься эмулятором ключа. Ведь считать информацию с ключа тебе может показаться весьма сложным делом. Оказывается, нет! Производители Dallas позаботились о нас, фрикерах, и всю необходимую для нас информацию разместили непосредственно на ключе, причем в шестнадцатеричной форме! Она выгравирована на корпусе таблетки, и ее вполне можно прочитать, а потом в дальнейшем зашить в наш замечательный эмулятор.
Из всей груды этой информации нас интересует следующее:
CC (CRC) - это байт контроля четности 7-й байт в прошивке.
SSSSSSSSSSSS - двенадцать ниблов (полбайта) серийного номера, то есть самого ключа в HEX-кодах.
FF (код семейства) - в нашем случае равен 01H, нулевой байт нашего ключа.
Получается, что мы можем просто написать программу, забить в нее ключ, скопировав дамп вручную, и в итоге получим готовый эмулятор. Достаточно просто взять у недруга ключик и переписать то, что на нем выгравировано. Что, я, в общем-то, с успехом и сделал.
Ваяем эмулятор
Вот и дошли мы до самого вкусного - эмулятора. Сначала я нашел на каком-то сайте готовый эмуль, зашил его в свой АТ89С51 — и он не заработал (что не удивительно). Но это неспортивно юзать чужие прошивки и отлавливать специально оставленные баги в коде. Поэтому я начал делать свои эмуляторы и писать под них программы. Я попробовал сделать эмуль на 6-ти различных микроконтроллерах разных архитектур, принадлежащих двум семействам AVR и i8051 производства Atmel. Поначалу мной ставились наполеоновские задачи по изготовлению универсального эмулятора с возможностью подборки ключа, но потом я оставил эту затею в силу ее геморройности и бессмысленности. Пусть ей займутся другие люди, кого заинтересует данная статья.
Принцип действия эмулятора.
Мы достаточно подробно рассмотрели принцип работы домофона, и, соответственно, нам не составит большой проблемы описать алгоритм программы эмулятора DS1990A. Смотрим на рисунок примера чтения ключа и думаем, что надо сделать. А сделать надо следующее. Висящая в воздухе нога микроконтроллера будет считаться логической единицей. После подачи питания на котроллер мы должны ждать момента, пока наша ножка не упадет на землю, а-ля в ноль. Когда мы услышали ноль, радуемся, ждем некоторое время и переводим порт из режима чтения в режим записи. Затем опять роняем шину в ноль и держим ее некоторое время: генерим импульс PRESENCE (длительности импульсов смотри в мануале на диске). Дальше снова переводим шину в режим чтения и ждем, что же нам скажет домофон. А он нам поведает команду чтения, состоящую из восьми бит. Декодировать ее не будем, так как в 99,999% случаев он нам выдаст запрос 33H на получения дампа. Мы же просто отсчитываем 8 импульсов от мастера и не паримся. Затем начинается самое сложное и интересное: надо быстро смотреть, что нам говорит домофон, и отвечать ему. Наша задача побитно выдать серийный номер, состоящий из восьми байт, о которых я говорил выше. Это выполняется следующим образом: загружается байт в какой-нибудь свободный регистр и сдвигается вправо. Далее смотрим бит переноса. И как только домофон роняет шину в ноль, я просто отмалчиваюсь на этот импульс (если, конечно, у меня флаг переноса установлен на единицу). Если же у меня во флаге переноса находится ноль, то после того, как домофон уронит шину на землю, я перевожу порт микроконтроллера в режим вывода и принудительно удерживаю шину в нуле некоторое время. Потом отпускаю и перевожу порт в режим чтения. По длительности импульса в нуле мастер понимает, что ему было передано. Если ключ совпадает, то домофон откроет нам дверь.
Практика
Настало время проверить все вышесказанное на практике. Для отладки, чтобы не бегать к домофону, я достал плату, читающую домофонные ключи. Устройство называется WatchDog. На самом деле это универсальный комбайн, но из всего изобилия функций мне необходима только возможность чтения ключей. Данная платка сбрасывает дампы ключиков в USB-порт, и любая программа, работающая с СОМ-портом (виртуальный СОМ-порт) может получить ключ. Подобный софт можно найти на диске.
После небольшого геморроя и войны с отладчиком получился код. Вот пример кода вывода данных домофону на AT89C2051.
Заключение
В результате я получил множество эмуляторов. Есть 100% рабочие эмули, правда, некоторые из них нужно довести до ума.
Как видишь, домофоные ключи устроены не так просто, как кажется. Однако эмулировать их доступно каждому, кто владеет программированием и паяльником. На диске ты найдешь для этих целей всю необходимую информацию. Удачи в опытах хацкер!
INFO
Автором статьи была изучена 8051 архитектура экстерном, так как большинство кодов было написано под нее. Он зверски замучил микроконтроллеры AT89C51, АТ89С2051 (100% рабочий эмулятор вышел — остальные дорабатываются), ATmega8535, ATmega8, ATtiny2313 и ATtiny15 - самый миниатюрный эмулятор.
Я готов посодействовать в создании эмулятора, прошивке микроконтроллера и подбору нужных комплектующих. Пиши на мыло – договоримся.
DS1990A – не единственный девайс компании Dallas. Существуют перезаписываемые ПЗУ, на которых можно носить информацию c поддержкой шифрования.
Себестоимость эмулятора, не считая затраченных трудов, меньше 70-80 рублей. При желании можно даже уложиться в 30 рублей, если делать эмулятор, например, на базе ATtiny12.
DANGER
Учти, что незаконное проникновение в помещение карается законом. Автор статьи и редакция не несут никакой ответственности за использование данной информации в незаконных целях.
WWW
Если тебя заинтересовала данная статья, то ты можешь следить за новостями в сообществе по радиоэлектронике: https://ru-radio-electr.livejournal.com
Как открыть домофон «Факториал»
Система этих домофонов похожа на Цифрал. Вход в сервисное меню происходит после того, как набран 6-тизначный код домофона Факториал. Обычно это 000000 или 123456. Однако установщики утверждают, что взлом домофона Факториал практически невозможен хотя бы потому, что код домофона Факториал при установке меняется в обязательном порядке – такова одна из обязательных сервисных установок. Но можно попробовать вот такую комбинацию – нажать клавишу «5» до появления сервисного сообщения на экране (3-5 секунд), затем набрать 180180 + клавиша вызова + 4 + клавиша вызова.
Как открыть домофон Blink
Это единственный однопользовательски аудиодомофон, широко распространённый на российском рынке. У него нет ни экрана, ни цифровой клавиатуры и устанавливается он обычно в домах с консьержем или в частных коттеджах. Поэтому сервисные комбинации тут не помогут. Поможет обычная батерейка Д9-0,1 – «Крона», «Корунд» и им подобные. Европейский тип такой батарейки – 6F22. Итак, находим под нижней панелью фальшболты странной формы – они в точности соответствуют разъему «Кроны». К ним прикладываем батарейку – и вуаля, домофон открыт.
Взлом домофонов Барьер II и IIM
Помните, это такие старые "советские " домофоны с механическими замками и плоским магнитным ключем? Для 2М существует несменный код открытия - 1013. Но они редко встречались тогда, а сейчас тем более. Вообще эти домофоны открывались 2-мя магнитиками, например из разобранного ключа. Просто возишь ими по ключ-площадке до срабатывания.
Барьер - 4
То же, только без кнопок (однопользовательский, расчитан на парадные с консъержами). В ключе 3 магнита.
Коды домофонов VIZIT
Общее замечание: Если на клавиатуре * и # нет, вместо них C и K. С — * K — #.
Бездисплейные модели со светодиодами (SM/M/N 100-200):
Если стандартные настройки не меняли то код *#4230 или код 12#345 приводят к открытию домофона.
В свеже установленных домофонах вероятны коды *#423 и 67#890
Можно войти в сервисное меню:
#999-пикнет 2 раза-(мастер код, по умолчанию 1234)-пикнет 1 раз. Если код не правильный то пиликнет двух тональным сигналом. Мастер код может быть 1234, 6767, 3535, 9999, 12345, 0000, 11639.
Далее:
2 + # + 3535 Открытие домофона.
3 — Программирование ключей для входа. (Приложить ключь + #, дождаться писка + *).
4 — Стирание ключей из памяти.
* — Выход из режима.
# — Подтверждение установки.
Для домофона ВИЗИТ БВД-3xx (без дисплея и светодиодов), (с правосторонним или центральным расположением таблетки)
открытие двери - в меню нажать 1.
Не всегда работает в БВД-34х (с левосторонним приемником)
Для них уточняется.
Коды домофонов Cyfral
Для открытия двери пробуем:
a) Если в подъезде есть квартиры с номерами 100, 200, 300, 400 и т.д., то можно попробовать ввести коды :
звонок {код 1} звонок {код 2}
где код 1= "круглому номеру квартиры" (100...900),
код 2= 2323 или 7272 или7273.
Для других моделей домофонов (с буквой "М") подходит код :
"В" 41 "В" 1410. Иногда помогает просто ввести 07054.
Домофон CCD-2094.1М (горящая или мигающая черточка на дисплее) - набираем код В+0000 либо открытие сразу, либо сервис меню (надпись ON) - тогда нажать 2. Либо, надпись OFF - тогда увы, режим быстрого доступа выключен.
Коды домофонов Cyfral CCD-2094M
Код 0000 "В" + пауза 2 секунды. Появляется надпись "cod". Вводим код 123456+"В" или 456999+"В" (редко 123400+"В"), пауза 2-4 сек., надпись "f0". Открыт доступ в меню. Для быстрого открытия достаточно нажать код 601.
Если мы хотим приходить регулярно, можем записать в память домофона Cyfral свой ключ. Нажимаем звонок и держим до появления надписи, затем вводим код 123456 (или код 123400). Попали в сервис-режим. В сервисном режиме нажать 5, затем ввести номер существующей квартиры, домофон напишет TOUCH прикладываем ключ — он в памяти. (Для моделей с плоскими оптическими ключами вместо номера квартиры набрать 600, вставить ключ и нажать вызов).
Коды домофонов Eltis
Как правило коды открытия:
"B" 100 "B" 7273
или
"В" 100 "В" 2323
Но если не работает, можно попробовать другие варианты от Cyfral.
Коды домофонов МЕТАКОМ
Нажимаем вызов, потом номер первой квартиры в подъезде, снова вызов (высветится "COD"), потом код 5702... Если не сработает - тогда пробуем коды : 65535+"В"+1234+"В"+8 или или 1234+"В"+6+"В"+4568.
Только для домофонов МК-20 М/Т коды:
"В"+27+"В"+5702
или "В"+1+"В"+4526
И еще про домофоны МК-20 М/Т: В их прошивке нет и не будет защиты от мастер-ключей. Даже не зная сервис - пароля, если поднести таблетку-болванку, домофон войдет в режим прграммирования автоматически!
Коды домофонов Rainmann
Для моделей Rainmann 2000 и тех, у кого на дисплее горит точка слева.
Кнопку «ключ» + 9 8 7 6 5 4. Должен послышаться двойной писк. Затем вводим код 1 2 3 4 5 6 , появится буква "P". Вошли в меню. Далее:
4 — Блокировка двери.
6 — Выключение домофона.
8 — Открыть дверь.
Коды домофонов DomoGuard
Длинное нажатие на "С", он пискнет.
Потом быстро вводим код : 669900, + кнопку звонка + номер на единицу больше, чем последняя квартира в подъезде. На дисплее должно быть "F---".
Попали в меню.
Открыть дверь - код 080
Запомнить новый ключ - код 333
Отключить блокировку дверей - код 071
Взлом домофона Blink
Единственный однопользовательский домофон в списке. Он без экрана, без клавиатуры, с механическим запором. Ставится в домах с консъержем, поэтому взлом его имеет смысл только ночью. Находим на нижнем срезе панельки фальшболты непривычной формы. Это контакты резервного питания. При подаче на них 9 вольт (а они как раз под ширину контактов "Кроны"), домофон открыт.
Код домофона T-Guard
Код "В"+00000+"В"В" (последние два нажатия - быстро!) - дверь открыта.
Некоторые общие замечания по взлому домофонов:
Зимой на домофоны с сенсорной клавиатурой (DomoGuard, Rainmann ) действует переохлаждение. Берем нормальный комок снега, и прислоняем к клавиатуре. Когда на дисплее появится надпись "Err"(10-20 минут), домофон разблокирует замок.
Многие мастера изменяют код установщика (пароль) с установленного по умолчанию (код процессора) на другой. Делается это обычно для того, чтобы никто другой не мог изменять настройки домофона.
Теперь, чтобы войти в режим программирования, надо набирать новый код... Старый был изменён и не действует.
Никакие коды не подходят, что же делать? Спокойно. Если домофон с магнитным запором (не с механическим!), то одну ногу ставим туда где открывается дверь и сильно тянем за ручку. При рывке дверь открывается, но ничего не поломано.
Для регулярных визитов:
Ловим момент, когда дверь домофона открыта и наклеиваем на магнит несколько слоев скотча. При этом, оставляем небольшой участок поверхности для контакта. На первый взгляд домофон работает как обычно, но стоит лишь посильнее потянуть дверь и вуаля, она открыта.
Тук тук, домофон откройся.
Q: Как сделать клон трубки?
A: Открой корпус трубы, тама стоит нескока джамперов, которые устанавливают номер квартиру, в коророй установлена трубка (актуально для Rainkman).
Q: Как войти в сервисное меню домофона Cifral?
A: Нажать любую цифру и держать до появления надписи, затем ввести инженерный код.
Q: Как войти в системное меню домофона Cifral?
A: Нажать звонок и держать до появления надписи, затем ввести инженерный код.
Q: Как войти в сервисное меню домофона Rainmann (Rainmann 2000 etc. и другие)?
A: Нажимаешь кнопочку «ключ» и вводишь 9 8 7 6 5 4 , должен послышаться двойной звуковой сигнал. Затем вводи 1 2 3 4 5 6 , появится буква P. Ты вошел в систему управления домофоном. Теперь запоминай:
1 — Расширенные настройки домофона, советую самому там не копаться, а просто войти в эту менюшку, и идти попивать пЫво неподалеку. Озадаченные жильцы сделают все за вас.
2 — Обычные настройки домофона.
3 — Подача сигнала.
4 — Блокировка двери.
5 — ????
6 — ???? (домофон виснет)
7 — ????
8 — Открыть дверь.
9 — ????
Это действует если только настройки не трогали, вместо 987654 может быть другой код.
Пашет на домофонах где на экранчике точка стоит слева.
Q: Как войти в сервисное меню домофона VIZIT?
A: #999-пикнет 2 раза-(мастер код, по умолчанию 1234)-пикнет 1 раз
если код не правильный то пиликнет двух тональным сигналом
значения кнопок:
1 — ???
2 — Установка индивидуальных кодов для квартир.
3 — Программирование ключей для входа.
4 — Стирание ключей из памяти.
5 — ???
6 — ???
7 — ???
8 — ???
9 — ???
* — Выход из режима.
# — Подтверждение установки.
Q: Как войти в сервисное меню домофона Eltis?
A: Также как в Cifral.
Q: Как войти в сервисное меню домофона МЕТАКОМ?
A: На клаве набирай 65535 В (или #) далее 1234 В (или #) если все нормально то на дисплее появится [ ].
На клаве набираем 65535 В (или #) на дисплее пишет COD далее 1234 В (или #) если принял то на дисплее [ ] , что осначает что вы в сервисном режиме. Под 1234 подразумевается мастер код который теоретически ты знаеш. Если код не подходит то курим или начинаем заниматься брутом пароля.
Допустим этот этап пройден и ты вошел в сервисный режим, на дисплее [ ] .
Тперь тыкаем # (или В) появляется _ _ _ это означает что ты в абонентском режиме. Набирай номер квартиры для которой хочеш закодировать ключик, рекомендую на 6 больше чем номер последней квартиры в этом подъезде например последний 120 а ты вводи 126, теперь тыкаем # (или В), у номера набраной квартиры появляется точка 126. из примера. Далее жмеш кнопку 7, точка возле номера пропадает 126 прикладываеш ключ который хочеш прописать. На некоторое время моргнет - t -, ключик прописался.
Q: Как на время вывести из строя домофон с ключом-таблеткой?
A: Берем пьезу из электрической зажигалки, и даем разряд в приемник ключа, помогает редко, лучше использовать шокер.
Q: Как обнулить память домофона?
A: Для этого надо найти откуда запитан домофон, обычно в щитке на первом этаже, там есть небольшой блок, он обычно очень хорошо спрятан, обнулить его просто дайте на 1, 6, 8 и 12м когу +1,5 вольта а -на 2 ногу и память домофона будет чиста как у младенца.
Но специалист восстановит это за 5 минут.
Также там есть COM-порт, но как его использовать неизвестно.
Q: Как открыть дверь домофона Cifral?
A: Если в подъезде есть квартиры с номерами 100, 200, 300, 400 и т.д., то можно попробовать ввести:
звонок 100 звонок 7272
звонок 200 звонок 7272
звонок 300 звонок 7272
звонок 400 звонок 7272
звонок 500 звонок 7272
звонок 600 звонок 7272
звонок 700 звонок 7272
звонок 800 звонок 7272
звонок 900 звонок 7272
звонок 100 звонок 7273
звонок 200 звонок 7273
звонок 300 звонок 7273
звонок 400 звонок 7273
звонок 500 звонок 7273
звонок 600 звонок 7273
звонок 700 звонок 7273
звонок 800 звонок 7273
звонок 900 звонок 7273
Q: Как еще можно открыть Cifral?
A: ВЫЗОВ 41 ВЫЗОВ 1410
Или просто ввести 07054. Иногда помогает.
Q: Как можно открыть домофон Eltis?
A: B 100 B 7273
В 100 В 2323
Также можно попробовать варианты от Cifral.
Q: Как открыть дверь домофона VIZIT?
A: Если стандартные настройки не меняли то *#4230 и дверь откроется.
Еще иногда помогает 12#345.
Q: Как войти в системный режим домофона VIZIT?
A: Для входа в системный режим нужно соеденить выводы кабеля «ПРОГРАММИРОВАНИЕ» чаще всего для этого нужно снимать весь блок с двери, потому как данные ваводы не выводят в щиток.
Q: Чем отличаются сервисный и системный режим?
A: Сервисный и системный режимы разные. Если снять блок с двери и включить системный режим то можно поменять все. Даже мастер код для входа в системный режим.
Q: Как записать в память домофона VIZIT свой ключ?
A: В режиме програмирования нажмите 3, затем номер хаты, приложите ключ, нажмите # а потом *
Q: Какие коды по умолчанию ставят в домофоны?
A: 1234, 6767, 3535, 9999, 12345, 0000, 11639 (VIZIT).
Q: Как открыть МЕТАКОМ?
A: В сервисном меню нажать 8. Также помогает В (или #) 1234567.
65535-В-1234-В-8 или В-1-В-5702 или В-6-В-4568.
Нажать вызов, потом номер первой квартиры в подъезде, снова вызов(высветится "COD"), потом 5702... Дверь открыта!
Q: Сколько мастер ключей может быть у домофона МЕТАКОМ?
A: Только 1.
Q: Можно ли ключи от домофона магнитом убить, или хоть покалечить?
A: Нет, нельзя.
Q: Как сменить системный код в домофоне Cifral?
A: В режиме програмирования 1 (p----) и вводи новый пасс.
Q: Существуют спец-коды домофонов для открытия дверей спец-службами?
A: Нет, таких кодов нет.
Q: Как записать в память домофона Cifral свой ключ?
A: В сервисном режиме нажать 5,затем ввести номер квартиры, домофон напишет TOUCH прикладываем ключ — он в памяти.
Q: Как стереть ключ-таблетку из памяти домофона Cifral?
A: В сервисном режиме нажать 5, затем ввести номер квартиры, на которую подключен ключ, затем нажать 9.
Q: Как записать в память домофона Cifral оптический (плоский с дырками) ключ?
A: В системном режиме нажать 5, затем ввести номер ячейки ключа (1, 2, 3), вставить ключ, нажать на звонок.
Q: Как сменить общий код домофона Cifral?
A: В сервисном меню нажмите 2, затем введите новый код, если код короче 4 цифр, то после ввода нажмите звонок.
Q: Как сменить индивидуальный код домофона Cifral?
A: В сервисном меню нажмите 3, затем номер квартиры, звонок, введите новый код, звонок, затем пойдет вызов, абонент должен будет дважды нажать на кнопку звонка.
Q: Как отключить абонента домофона Cifral?
A: В сервисном меню нажмите 4, затем 0, затем номер квартиры, затем звонок.
Q: Как подключить абонента, которого отключили от домофона Cifral?
A: В сервисном меню нажмите 4, затем 1, затем номер квартиры, затем звонок.
Q: Какие настройки по умолчанию домофона Cyfral CCD-2094M?
A: Код доступа в режим изменения параметров и настроек 123456.
Общий код 1234.
Номер таблицы индивидуальных кодов 000.
Номер первого абонента 1.
Кол-во абонентов, подлежащих обслуживанию 100.
Длительность сигнала Z 1.
Режим пользования общим кодом ВКЛ.
Режим пользования индивидуальным кодами ВКЛ.
Абоненты ВКЛ/ВЫКЛ.
в список обслуживания Звуковой сигнал №3.
Оповещение абонента об открывании двери индивидуальным ключом ВКЛ.
Q: На домофоне VIZIT клавишь * и # нет, что делать?
A: Есть C и K. С — * K — #.
Q: Существует ли системное меню у старых домофонов (с ключом-«палкой»)?
A: Нет.
Q: Как еще можно открыть двери домофонов?
A: Попробуйте закоротить лампочку на подъездном освещении, иногда помогает.
Одну ногу ставим туда где открывается дверь и сильно тянем за ручку при рывке дверь открывается.
Прижимаешь любой ключ от другого домофона и вводишь 8082 ключ 5454
На рабочем домофоне горит одна точка. Затем нажми на кнопку с изображением ключа, на мониторе появится "---", вводи 987654 (слышится двойной звуковой сигнал), затем вводи 123456. Если на мониторе появилась буква "Р", значит, ты благополучно взял домофон под свой контроль. Теперь ты должен определить цель своей работы. Если тебе просто нужно открыть данную дверь, нажимай цифру "8", и дверь откроется.
Q: Как открыть домофоны с сенсорной клавиатурой
A: Пока зима, на домофоны с сенсорной клавиатурой действует суперская штучка. Берем нормальный комок снега, и прислоняем к клавиатуре Ждем, пока на дисплее появится надпись "Err" , заходим
Q: Как открыть VIZIT БВД-342
A: В меню я вошел (набрал #999) на экране появляется 1--2 нажимаешь 1 вроде входит.
Мутим ключ от домофона
Как обмануть домофон компании Cyfral
Ты не силен в программировании микроконтроллеров? Ты не смог сделать дубликат ключа, как учил тебя «Хакер»? Твоя подруга смеется над тобой, когда железный болван-домофон не пропускает тебя? Не унывай — «Хакер» в очередной раз найдет для тебя решение, позволив проникнуть сквозь неприступные двери под звуки музыки.
А как же ключ от всех дверей?
В сентябрьском номере за прошлый год «Хакер» уже рассказывал о том, как самому изготовить универсальный ключ от домофонов. В качестве основной части нашего девайса мы тогда использовали хитрый микронтроллер. Но всякому ли крутому перцу охота ковыряться в ассемблере и отладчике, а также корпеть над столом с паяльником, когда за окном лето/пиво/друзья/девушка (нужное подчеркнуть)? Тем более что все чаще на просторах нашей родной страны встречаются странного вида ключи, у которых не в пример обычным вовсе нет заветного номера (как ты понимаешь, нужного для того, чтобы снять с него копию по нашему методу), зато есть загадочная надпись «Cyfral». Не будем темнить и скажем сразу, что Cyfral — это отечественный продукт, так сказать, наш ответ Чемберлену. Уделим же внимание этому девайсу и попробуем на прочность этот орешек…
Экскурс в теорию, или практика потом
За последние несколько лет идентификаторы Touch Memory DS1990 от фирмы Dallas Semiconductor заняли лидирующее место на рынке систем контроля доступа. Малогабаритные, выполненные в прочном металлическом корпусе, они смогли удовлетворить практически все запросы российских потребителей. В общем, чего рассказывать: каждый видел эти «таблетки» сотню раз. Впрочем, подделать такой ключ оказалось очень просто: достаточно было лишь считать код, зашитый в ключ-идентификатор. В 2000 году компания «Цифрал» разработала и запатентовала собственный цифровой электронный идентификатор Touch Memory Cyfral DC-2000. Отечественная разработка была призвана устранить ряд недостатков. Она была проста в производстве, и ее быстро освоили отечественные предприятия.
В документации к контактному цифровому ключу DC-2000 (Touch Memory Cyfral) приведено следующее описание его работы: «Корпус DC-2000 аналогичен по конструкции и размерам корпусу Dallas DS1990. Он сделан из нержавеющего металла. Диаметр диска около 17 мм, толщина 5,89 мм. Полый внутри диск состоит из двух электрически разъединенных частей. В герметичную полость помещена электронная схема на кремниевом кристалле. Выход схемы соединен с половинками диска двумя проводниками. Ободок и донышко представляют собой земляной контакт, а крышечка выполняет функцию сигнального контакта.
Микросхема DС-2000 работает по собственному уникальному протоколу. При контакте со считывающим устройством DС-2000 начинает выдавать циклические кодовые комбинации, состоящие из стартового и восьми информационных слов. Стартовое слово отличается от информационного количеством единиц: три единицы подряд и один ноль. Информационное слово - одна единица и три нуля.
Положение единицы в каждом информационном слове программируется индивидуально на этапе изготовления микросхемы ключа DС-2000. Примененная технология позволяет получить аж 65536 кодовых комбинаций! Выдача кодовой комбинации происходит посредством изменения тока потребления микросхемы ключа с фиксированным периодом. Причем длительность импульса для состоянии «лог.0» и «лог.1» различна, как показано на временной диаграмме.
Так как при чтении данных из ПЗУ в любой момент возможно нарушение электрического контакта считывающего устройства с корпусом прибора, то необходимо контролировать целостность считываемых данных. Для этой цели кодовая комбинация считывается из ПЗУ три раза подряд и сравнивается считывающим устройством (персональная ЭВМ, микропроцессорный контроллер). В том случае, если коды совпали, серийный номер считан верно. В противном случае выполняется повторное чтение данных».
Проще говоря
Иными словами, как только мы вставим ключ в приемную лузу, он будет тарахтеть в нее кодом до тех пор, пока мозги домофона не решат, что код правильный, и не откроют нам желанный Сезам. В принципе опять же можно было бы с помощью микроконтроллера сваять эмулятор, но у нас есть способ проще и интереснее!
Поскольку домофон «Цифрал» только слушает ключ-идентификатор и вообще не использует какой-либо протокол обмена, путь для обхода весьма и весьма прост. Следует лишь записать тарахтение ключика, а потом воспроизвести эту запись домофону.
К несчастью, лобовое решение – магнитофон – тут не подойдет. Коэффициент детонации популярных китайских проигрывателей таков, что даже не обладающий музыкальным слухом домофон тут же заметит лажу. Что там у тебя еще есть из звукозаписывающей техники? Ну компьютер со звуковухой есть наверняка! Значит, можно записать тарахтение ключика и потом просто зажечь ее на CD. Воспроизвести запись не проблема, например, через портативный CD-плеер, который точно имеется в наличии у каждого второго твоего знакомого. Впрочем, даже если вдруг CD-плеер ты не разыщешь, сойдет и цифровой диктофон или сотовый телефон. Правда, мобила подойдет не всякая, но об этом мы расскажем далее.
Перейдем к делу: слушаем ключик
Для записи «музыки» ключей «Цифрал» нам понадобится источник питания 2,4-5 В. Можно использовать блок питания компьютера, но высока вероятность того, что он добавит в нашу запись ненужные шумы и тем самым испортит «произведение». Поэтому лучше запастись двумя любыми батарейками, которые в сумме обеспечат нам 2,4-3 В. Для тех, кто в танке, напомним, что питание +5 В можно получить как от разъема USB-порта, так и от некоторых GAME-портов, подавив шумы компьютера простейшим фильтром из дросселя и конденсатора. Далее, нам будет нужно сопротивление номиналом 1,5-2,2 кОм любого вида и исполнения. Из этих комплектующих собираем очень сложную схему из трех элементов для прослушивания нашего ключика.
Такая штука точно не помешает в кармане.
В зависимости от номинала сопротивления и напряжения питания схемы, амплитуда «цифровой музыки» составит 0,3-0,5 В на уровне постоянной составляющей 1,0-1,5 В, что позволит подать этот сигнал непосредственно на линейный вход звуковой карты.
Если в наличии имеется только микрофонный вход, как это бывает у некоторых моделей ноутбуков и у сотовых телефонов, схему придется усложнить, добавив делитель напряжения из двух резисторов, один из которых переменный. Манипулируя ручкой переменного резистора R3, следует обеспечить на микрофонном входе амплитуду сигнала порядка 0,5-1,2 мВ.
Далее включаем свой любимый звукозаписывающий софт. Лучше, конечно, что-нибудь типа Cool Edit (www.syntrillium.com), Sound Forge (www.sonycreativesoftware.com) или хотя бы Total Recorder (www.highcriteria.com). Подойдет все, что имеет виртуальные индикаторы уровня записи и позволяет на глаз выставить уровень записываемого сигнала без перегрузок звукового тракта карты. …Ну, на нет и суда нет! Можно использовать и обычную «Звукозапись» из стандартного набора Windows, хотя в этом случае, возможно, придется сделать несколько записей, чтобы подобрать приемлемый уровень.
В используемой программе выбираем источник сигнала (тот, куда мы подключились: «Микрофон» или «Линейный вход»), после чего записываем обыкновенный звуковой файл с расширением WAV с параметрами: PCM 44100 Гц, 16 бит, моно длительностью 1-2 минуты без применения какой-либо компрессии сигнала. В принципе для домофона хватило бы и 5 секунд, но такой запас просто позволит в нужный момент действовать без излишней суеты. В случае если ты хочешь сделать запись при помощи мобильника, нужно позаботиться, чтобы тот умел захватывать звук через гарнитуру. Тут, конечно, придется отрезать сам микрофон от гарнитуры, а если жалко — спаять отдельный провод с разъемом и прицепить его к выходу делителя. Но это реально!
Двигаемся далее
Итак, искомый файл или несколько WAV-файлов от разных ключей получены! Самое время прожечь их на компакт-диск в виде музыкальных файлов cda, в чем нам поможет всем известная Nero (www.nero.com) или любая другая аналогичная программа. Можно записать и просто как WAV-файлы, если CD-плеер поддерживает такой формат. При записи в формате mp3 кодовая информация может быть утеряна в процессе сжатия, в этом случае надо выставить опции максимального битрейта и максимального качества формируемого mp3-файла. В окне Cool Edit форма сигнала при этом остается неискаженной, но, как это воспримет домофон, я не в курсе. Если при записи в мобильник применяется алгоритм сжатия с потерями, затеянный фокус, скорее всего, не удастся, но попробовать все равно стоит. В крайнем случае WAV-файл можно сформировать на компьютере, а в мобилу затаскивать как качественный mp3 через Data-кабель, IRDA или Bluetooth. Количество вариантов здесь довольно велико, все зависит от используемой мобилы. Возможно, даже придется сваять простенький мидлет на Java. К счастью, даже в стандартной поставке J2ME Wireless Toolkit 2.2 beta 2 есть пример закачки и воспроизведения музыки в формате WAV. Если тебе это кажется нереальным, два готовых мидлета прилагаю. Тебе останется только раззиповать jar-файл, положить в архив свой WAV-файл ключа под именем my_key.wav (или my_key_X.wav, в папку audio), зазиповать все это обратно и должным образом втащить в мобилу. Сам файл ключа не должен быть очень большим – могут возникнуть траблы при закачке. Секунд 5-10 вполне достаточно, тем более что мобила будет проигрывать его непрерывно по кругу.
Пора действовать
Ну что, откроем пару дверок? Вместо наушников, припаиваем к шнурку с разъемом сопротивление номиналом 680-820 Ом для согласования со схемой считывающего устройства домофона «Цифрал». Оба канала стереофонического кабеля включаются параллельно, согласно приведенной схеме. Нагрузка величиной 680-820 Ом значительно превышает сопротивление распространенных наушников и выход плеера перегрузить не должна, если, конечно, кривые руки не спаяли что-нибудь накоротко, но производители чаще всего заботятся о дураках, и есть надежда, что в плеере или мобиле применена защита выхода от короткого замыкания.
Чтобы иметь некоторую уверенность в успехе, выход CD-плеера или мобильника должен развивать на нашей нагрузке переменный сигнал амплитудой не менее 0,5 В. Если есть возможность воспользоваться осциллографом, посмотри амплитуду сигнала на нагрузке. В противном случае придется покрутить регулятор выходного сигнала CD-плеера в полевых условиях у вожделенной двери. Впрочем, вероятность успеха весьма велика — у меня, например, безо всяких настроек дверь открылась сразу при максимальной громкости.
Программы типа Cool Edit и Sound Forge позволяют увидеть форму сигнала и без осциллографа. Можно также заюзать различные софтварные осциллографы, использующие железо звуковой карты. Количество таких программ, разбросанных на просторах Сети, весьма велико. В любом случае правильная форма записанного сигнала должна ориентировочно соответствовать приведенной на рисунке.
Если выбросы сигнала, указанные на рисунке цветными кружками, значительны и пересекают линию нулевого уровня, то, вероятно, запись сигнала придется повторить с другим уровнем записи или отредактировать сигнал вручную, уменьшив амплитуду выбросов. Но в подавляющем большинстве случаев необходимое качество WAV-файла достигается с первого-второго раза даже при весьма средних параметрах самой звуковой карты (я лично юзал древнюю ESS-1868).
Упрощаем отладку
Чтобы не торчать уйму времени у домофона, напоминая озабоченного террориста, для отладки можно использовать простенькую софтину CYF_KEY.COM, которая позволяет считывать коды ключей через LPT-порт компьютера.
Для аппаратного обеспечения программы необходима схема компаратора или триггера Шмитта, запитываемая от напряжения +5 В разъема USB-порта или GAME-порта. Подобные устройства в недавнем прошлом широко применялись в схемах популярных 8-битных компьютеров типа «Синклер», РК-86, «Орион», «Микроша» для ввода программ и данных, записанных на магнитофонные кассеты. Простая схема такого устройства приведена на рисунке. Если со сбором подобной схемы у тебя возникают траблы, можно попробовать обойтись более простой конструкцией, но в этом случае придется подобрать резистором R2 постоянное смещение на входе Busy порта принтера.
Программа CYF_KEY.COM использует прямое обращение к таймеру и портам ввода-вывода, поэтому запускать ее следует из-под голого DOS’а, благо небольшой размер программы позволяет ей поместиться на системной дискете. При правильном определении кодов ключей программа выводит их список, при сбоях или ошибках в сигнатуре ключей возможно отображение символа «E» (Error). Для того чтобы убедиться в работоспособности аппаратной части, программу необходимо запустить на двух разных компьютерах, соединив между собой их выходы Strobe с входами Busy и запустив одну из программ в режиме чтения ключа, а другую – в режиме эмуляции ключа из файла.
Неприятным обстоятельством может быть то, что где-нибудь на этапе создания или воспроизведения файла звуковой тракт инвертирует сигнал ключа. Шанс при современной аппаратуре очень небольшой, но кто знает, что там творят китайцы для удешевления своей продукции. В таком случае без звукового редактора не обойтись, поскольку сигнал перед записью придется инвертировать.
Наводим марафет
Для сопряжения с лузой лучше смастерить простую конструкцию, позволяющую не лезть к домофону с оголенными проводами в руках, да и не элегантно это. Поскольку на всю эту фигню мы не потратили пока еще даже и обрезка от бумажки с зелеными комиссарами, контакты ключа также можно выполнить в стиле «Xакера» из подручных материалов: картона, жести и любого суперклея.
При наличии прямых рук может получиться весьма симпатичный девайс. В любом случае ободок лузы — контакт общего провода (оплетки кабеля), а центральный круглый контакт — сигнальный.
К записи готов!
Включаем CD-плеер или мобильный телефон на воспроизведение файла ключа, уровень громкости максимальный. С уверенным (злым, глупым, коварным и т.д. – на выбор) выражением лица говорим волшебное слово: «Цифрал, откройся!», подключаем девайс к лузе домофона, и железный монстр с печальным звуком «Длиньк!» должен пасть! Можно, конечно, и без театральных эффектов, да и фраза – на твое усмотрение, но если уж решил поразить девушку, потренироваться следует заранее, особенно с уровнем громкости… CD-плеера (мобильника).
Напоследок
Разумеется, предложенный способ эмуляции ключей-идентификаторов «Цифрал» – самый простой. Заметим, что крутые перцы, владеющие языком программирования Java для мобильных устройств (J2ME) и обладающие навороченными смартфонами, могут сбацать универсальный ключ для любых систем, как Touch Memory Cyfral DC-2000, так и Touch Memory DS1990, без существенных аппаратных затрат исключительно программным путем, манипулируя сигналами COM-порта мобильника. Основное препятствие заключено в версии установленной в телефоне Java-машины, в том, имеет ли она развитые средства управления последовательным портом. В положительном случае аппаратно придется выполнить лишь несложные цепи согласования электрических уровней COM-порта мобильника и схемы считывания/эмуляции ключей Touch Memory.
Безусловно, все перечисленные в статье названия фирм, программных продуктов и торговых марок — неотъемлемая собственность их владельцев. Предоставленная информация нисколько не провоцирует на незаконные действия, а преследует цель указать фирмам и производителям на недостатки и дыры в их продукции, а также позволить всем простым смертным перцам (как фрикерам и хацкерам, так и не являющимся ими) не таскать с собой связки пластмассовых ключей и не рвать волосы на голове (или еще где-либо) в случае их потери. Как бы то ни было, сохрани в компьютере дубликаты, в экстренной ситуации не помешают!
Мутим ключ от домофона
Эмулятор ключей от домофона
Ты потерял ключи от домофона и не можешь сделать дубликат? Или хочешь ходить в гости к подруге, но железный домофон, висящий на ее двери, тебя не пропускает? Какая досада! Казалось бы, в такой безвыходной ситуации можно лишь пожать плечами. Ан нет, «Хакер» в очередной раз решает проблемы за тебя и предлагает смастерить универсальный ключ, способный покорить любой домофон.
Как это работает?
Темные люди думают, что в таблетках от домофона находится обычный магнит, который при контакте с замком открывает дверь. Это самое смешное и нелепое заблуждение, которое я когда-либо слышал. Ведь на самом деле таблетка представляет собой ПЗУ с жестко зашитым ключом. Эта память называется Touch Memory марки DS1990A. Таблетка «общается» с домофоном по шине One-wire (однопроводной интерфейс). Данная шина разработана фирмой Dallas, она позволяет общаться двум и более устройствам всего по одному проводу. Если устройство пассивное (как в нашем случае), то по шине передается также и питание по единственному проводнику. Кроме памяти, в ключе (таблетке) находится конденсатор на 60 пикофарад, который обеспечивает кратковременное питание на момент ответа. Ведущее устройство должно постоянно генерировать сигнал единицы для зарядки этого конденсатора, чтобы ПЗУ в таблетке продолжало питаться. Отбросив все умные термины, можно сказать просто: все, что необходимо для работы устройства, передается только по одному проводу. К слову сказать, шина 1-Wire оказалась столь удачной, что на ней организованы промышленные сети, в том числе и в нашей стране.
Организация шины One-wire
Тебе наверняка стало интересно, как таблетка взаимодействует с «базой», являясь пассивным устройством? Следует отметить, что парадом правит только мастер, то есть таблетка не способна генерировать какие-либо импульсы. Ее единственная возможность – удерживать шину в нуле (замыкать шину на землю через внутренний транзистор). Упрощенная схема ключа и домофона показана на картинках.
Если взглянуть на схему, то нетрудно заметить, что по умолчанию у домофона установлено напряжение +5 вольт, а-ля логическая единица. Для передачи логического нуля мастер через транзистор замыкает шину на землю, а для передачи единицы просто размыкает. Это сделано для того, чтобы обеспечить питание ведомого устройства.
Протокол взаимодействия
Мастер в ожидании присоединения таблетки постоянно, с некоторой периодичностью генерирует импульс RESET (сброс). Принимая этот сигнал, ключ дожидается его окончания и дает импульс PRESENCE (присутствие) определенной длительности. Если сигнал PRESENCE оказывается слишком длинным, то домофон понимает, что это короткое замыкание, и тупо отмалчивается. В противном случае мастер-девайс выжидает некоторое время и выдает команду на чтение ПЗУ, обычно это код семейства, в нашем случае 33H. Обрати внимание, как сделана передача нуля и единицы. В любом случае импульс «роняется» на землю, но если передается единица, то он быстро восстанавливается (это занимает около 1 микросекунды). Если же должен быть ноль, то импульс некоторое время «висит» на земле, затем возвращается опять в единицу. Это нужно для того, чтобы пассивное устройство постоянно пополняло энергию конденсатора, и на нем было питания. Далее домофон выдерживает некоторое время и начинает генерировать импульсы приема информации, всего 64 импульса (то есть принимает 64 бита инфы). Ключ лишь должен правильно сопоставить длительности. Если таблетка хочет передать ноль, то она удерживает шину некоторое время в нуле, если же нет, то просто молчит. Все остальное за нее выполняет домофон.
Содержимое ключа DS1990A.
Прежде чем мы перейдем к изготовлению эмулятора, нам придется рассмотреть содержимое памяти таблетки. DS1990A представляет собой восьми байтовое ПЗУ с информацией, записанной лазером.
В младшем байте содержится код семейства. Для DS1990A он всегда будет равен 01H. В шести последующих байтах содержится серийный номер ключа (та самая информация, позволяющая открыть дверь). Последний байт называется CRC — это контроль четности, обеспечивающий подлинность переданных данных. Он вычисляется из семи предыдущих байт по весьма сложному алгоритму.
Физическое устройства ключа.
Наверное, все вышесказанное отбило всякое желание заниматься эмулятором ключа. Ведь считать информацию с ключа тебе может показаться весьма сложным делом. Оказывается, нет! Производители Dallas позаботились о нас, фрикерах, и всю необходимую для нас информацию разместили непосредственно на ключе, причем в шестнадцатеричной форме! Она выгравирована на корпусе таблетки, и ее вполне можно прочитать, а потом в дальнейшем зашить в наш замечательный эмулятор.
Из всей груды этой информации нас интересует следующее:
CC (CRC) - это байт контроля четности 7-й байт в прошивке.
SSSSSSSSSSSS - двенадцать ниблов (полбайта) серийного номера, то есть самого ключа в HEX-кодах.
FF (код семейства) - в нашем случае равен 01H, нулевой байт нашего ключа.
Получается, что мы можем просто написать программу, забить в нее ключ, скопировав дамп вручную, и в итоге получим готовый эмулятор. Достаточно просто взять у недруга ключик и переписать то, что на нем выгравировано. Что, я, в общем-то, с успехом и сделал.
Ваяем эмулятор
Вот и дошли мы до самого вкусного - эмулятора. Сначала я нашел на каком-то сайте готовый эмуль, зашил его в свой АТ89С51 — и он не заработал (что не удивительно). Но это неспортивно юзать чужие прошивки и отлавливать специально оставленные баги в коде. Поэтому я начал делать свои эмуляторы и писать под них программы. Я попробовал сделать эмуль на 6-ти различных микроконтроллерах разных архитектур, принадлежащих двум семействам AVR и i8051 производства Atmel. Поначалу мной ставились наполеоновские задачи по изготовлению универсального эмулятора с возможностью подборки ключа, но потом я оставил эту затею в силу ее геморройности и бессмысленности. Пусть ей займутся другие люди, кого заинтересует данная статья.
Принцип действия эмулятора.
Мы достаточно подробно рассмотрели принцип работы домофона, и, соответственно, нам не составит большой проблемы описать алгоритм программы эмулятора DS1990A. Смотрим на рисунок примера чтения ключа и думаем, что надо сделать. А сделать надо следующее. Висящая в воздухе нога микроконтроллера будет считаться логической единицей. После подачи питания на котроллер мы должны ждать момента, пока наша ножка не упадет на землю, а-ля в ноль. Когда мы услышали ноль, радуемся, ждем некоторое время и переводим порт из режима чтения в режим записи. Затем опять роняем шину в ноль и держим ее некоторое время: генерим импульс PRESENCE (длительности импульсов смотри в мануале на диске). Дальше снова переводим шину в режим чтения и ждем, что же нам скажет домофон. А он нам поведает команду чтения, состоящую из восьми бит. Декодировать ее не будем, так как в 99,999% случаев он нам выдаст запрос 33H на получения дампа. Мы же просто отсчитываем 8 импульсов от мастера и не паримся. Затем начинается самое сложное и интересное: надо быстро смотреть, что нам говорит домофон, и отвечать ему. Наша задача побитно выдать серийный номер, состоящий из восьми байт, о которых я говорил выше. Это выполняется следующим образом: загружается байт в какой-нибудь свободный регистр и сдвигается вправо. Далее смотрим бит переноса. И как только домофон роняет шину в ноль, я просто отмалчиваюсь на этот импульс (если, конечно, у меня флаг переноса установлен на единицу). Если же у меня во флаге переноса находится ноль, то после того, как домофон уронит шину на землю, я перевожу порт микроконтроллера в режим вывода и принудительно удерживаю шину в нуле некоторое время. Потом отпускаю и перевожу порт в режим чтения. По длительности импульса в нуле мастер понимает, что ему было передано. Если ключ совпадает, то домофон откроет нам дверь.
Практика
Настало время проверить все вышесказанное на практике. Для отладки, чтобы не бегать к домофону, я достал плату, читающую домофонные ключи. Устройство называется WatchDog. На самом деле это универсальный комбайн, но из всего изобилия функций мне необходима только возможность чтения ключей. Данная платка сбрасывает дампы ключиков в USB-порт, и любая программа, работающая с СОМ-портом (виртуальный СОМ-порт) может получить ключ. Подобный софт можно найти на диске.
После небольшого геморроя и войны с отладчиком получился код. Вот пример кода вывода данных домофону на AT89C2051.
Code:
;============================================================================
; Выдача в линию серийника
; in: R0- адрес, где лежит серийник с типом таблетки и CRC8
; USES: A,B,R0,R1,R2
;============================================================================
DEMUL_SendSer:
mov R2,#8
SS3: mov ACC,@R0
mov R1,#8
SS2: JB TouchFuck,$ ;ожидаем, когда шину уронят в ноль 1->0
RRC A ;C:=A.0; shift A;
mov TouchFuck,C ;TouchFuck:=C;
MOV B,#9
DJNZ B,$ ;Delay 20 us
setb TouchFuck
JNB TouchFuck,$ ;цикл пока 0
DJNZ R1,SS2
inc R0
DJNZ R2,SS3
ret
;==================================================Заключение
В результате я получил множество эмуляторов. Есть 100% рабочие эмули, правда, некоторые из них нужно довести до ума.
Как видишь, домофоные ключи устроены не так просто, как кажется. Однако эмулировать их доступно каждому, кто владеет программированием и паяльником. На диске ты найдешь для этих целей всю необходимую информацию. Удачи в опытах хацкер!
INFO
Автором статьи была изучена 8051 архитектура экстерном, так как большинство кодов было написано под нее. Он зверски замучил микроконтроллеры AT89C51, АТ89С2051 (100% рабочий эмулятор вышел — остальные дорабатываются), ATmega8535, ATmega8, ATtiny2313 и ATtiny15 - самый миниатюрный эмулятор.
Я готов посодействовать в создании эмулятора, прошивке микроконтроллера и подбору нужных комплектующих. Пиши на мыло – договоримся.
DS1990A – не единственный девайс компании Dallas. Существуют перезаписываемые ПЗУ, на которых можно носить информацию c поддержкой шифрования.
Себестоимость эмулятора, не считая затраченных трудов, меньше 70-80 рублей. При желании можно даже уложиться в 30 рублей, если делать эмулятор, например, на базе ATtiny12.
DANGER
Учти, что незаконное проникновение в помещение карается законом. Автор статьи и редакция не несут никакой ответственности за использование данной информации в незаконных целях.
WWW
Если тебя заинтересовала данная статья, то ты можешь следить за новостями в сообществе по радиоэлектронике: https://ru-radio-electr.livejournal.com
Last edited:
