Брутфорс

[dylan]

Вопрос у меня назрел интересный.

Написал я программку, которая по iso14230 перебирает пароли к ЭБУ. В основном это китайцы, на которых программаторов через диагностику не найти. Дело это не быстрое. Два пароля за десять секунд. Полный перебор возможен грубо говоря за пять суток. Так вот: некоторые блоки не возвращают seed на security access, отвечая что не выполенены условия. Хотя с другой такой же машины с таким же ЭБУ seed'ы приходят без проблем. Какие это могут быть условия? Может кто читал про это?

[AVA]

Тема интересная, только нет по ней информации и вряд ли кто поделится этими тонкостями. А на какие именно блоки делаете перебор?  И для каких целей? Вы свистите, может коллективом проверим работу программы на разных авто и блоках.

[dylan Автор]

А на какие именно блоки делаете перебор?  

Перебирал на chery система uaes (это A15, A1, QQ6, A5, V14) и на aveo mr140. Первая в процессе (машинки бывают, на ночь оставляю на зарядке и запускаю программку), вторая проверил половину комбинаций, а потом машинку забрали ;(

 

И для каких целей?

Пока могу просматриавть калибровки (для этого не требуется security access, а с ним и редактировать их можно будет...

Параллельно нашел некоторые параметры, которые отсутствуют в ланче в "якобы диллерской" программе на chery, это пробег авто по блоку управления двигателем и время работы ЭБУ.

 

Вы свистите, может коллективом проверим работу программы на разных авто и блоках.

Обидная фраза...

Завтра вечером тогда выложу... Кстати, работает с обычным k-line. У меня он то мастер-кита.

[SErgey_k]

Вы не правилно поняли. AVA имел в виду поможем, только свистни. ИМХО, тема интересная.

[AVA]

Точно так, извини не дописал просто фразу и смысл немного изменился, я не сомневаюсь в ваших способностях. Предлагаю помощь нашего коллектива, у многих есть дилерский доступ к авто. Да и авто много разных ездит, так что всегда рады помочь. 

 

Если архив выкладывать будете в данной теме, тогда делайте запароленный архив, кто захочет проверить программу из членов ассоциации, тот обратиться за паролем к вам в личку. (Чтобы не было без контрольного распространения).

[dylan Автор]

Сам виноват... Не правильно сам понял...

 

Как и обещал тестовая программкат во вложении... При переборе паролей инода дает ошибку, что условия не выполнены. Попробуйте...

 

Кстати, кто может подключить адаптер параллельно программатору по диагностике и считать лог. Вот программка. Скорость обмена указать 10400 бод.

 

Было бы не плохо, если посчитываете memory-map'ы и seed'ы для паролей и выложите... Будем сосдавать что-то своё

iso14230_research_tool.zip

Port2File.rar

[Berw]

Для тех кто в "танке" можно обьяснить   цели и задачи данного перебора паролей??

[dylan Автор]

большинство (даже можно сказать все) современные блоки управления (не только двигателем, но и абс/подушки/иммо/кузов и т.д) имеют возможность изменения калибровок и/или содержимого eeprom без демонтажа блока и, соответственно, без выпайки и перепрограммирования м/с...

 

опять же это самое большинство чаще всего разрешает читать указанную память (ф-ция readMemoryByAddress), а для того чтобы её изменить нужен security key (ключ, пароль как угодно), который нужно вводить в ответ на запрос. В спецификации iso14230 всё это оговорено, хотя и на анлицком...

 

небольшой плюс без ключа можно считывать калибровки... если надо, то могу сделать такую кнопочку...

 

хотя суть вопроса не в том, чтобы "заставить" форумчан "работать" на меня, а в том, что указано в первом посте: какие условия необходимо выполнить, чтобы блок всегда выдавал запрос для security access.

[AVA]

Программа нужная, попробую на подушке а4, интересно как пройдет.

[dylan Автор]

у автомобилей vag, если не изменяет память, обычно свой протокол обмена даными kw81 вроде...

хотя если блок бошевский, то может и получиться

[Дмитрий 42]

А у Сканера СКАН_100, есть какая-то софтина для Секьюрити Акссес...чего-то она там делает, я не вникал...может ее можно как-то использовать ? Или не в тему ?? Там ведь тоже бошевские блоки и ПО в основном у ЖМ.

[dylan Автор]

А у Сканера СКАН_100, есть какая-то софтина для Секьюрити Акссес...чего-то она там делает, я не вникал...может ее можно как-то использовать

А по-подробнее, если не секрет, что за софтина, как называется? И если есть инструкция не неё...

[Дмитрий 42]

На память так и называется Security Access. Что-то она делает со сканером чтоб он мог работать с защищенными областями памяти что ли.....я ниразу ей не пользовался. Весит она немного. Щас до дома доберусь - выложу.

[Дмитрий 42]

Выкладываю..

SecurityAccess.rar

[dylan Автор]

Посмотрел внутренности выложенной securityAccess и что могу сказать точно, то что она деёствительно считает ключи. Но вот получить процедуру расчета ключей достаточно сложно. Буду искать обходной вариант.

 

Дмитрий 42, у вас есть обычный k-line и скан-100? Может попробуем симмитировать ЭБУ? Программу-обманку под k-line я Вам пришлю. Она будет выдавать произвольный seed, а SecurityAccess.exe - ключ. Нужно будет подключить адаптер и скан-100 друг на друга и питание от АКБ (или +12компа). И есть ли у вас файл настроек "iSPS.ini", SecurityAccess.exe с него берет параметры порта?

[Гость]

На форуме довольно много людей у которых есть доступ к скан100 ... так что ... думаю им будет интересно.

[Дмитрий 42]

dylan, нет к сожалению у меня нет постоянного свободного доступа к Скан-100, поэтому я не смогу проводить эксперименты.

 

Именно такого ini файлика нету, есть только вот такой (приложен к сообщению).

 

Думаю прога берет данные из реестра.

iSPS_KR.rar

[kikaisan]

Я в танке по теме, но есть Скан100, аж две штуки. Такая же процедура нужна и для Теча2(тоже 2). Доступ есть. Можно в личку.

Где лежит этот Ацисс? Со Скан100 более менее понятно, а вот с Тече2 вопрос.

[AVA]

На а4 этой был кан на блок аирбега. Интересно, а с блоком М73 от приоры DA02 прокатит данная прога... чтобы не через бутстреп, а через диагностику считать.

[dylan Автор]

Интересно, а с блоком М73 от приоры DA02 прокатит данная прога... чтобы не через бутстреп, а через диагностику считать.

Попробуй... Только адрес блока будет скорее всего 0x10...

Сегодня вечером выложу измененный вариант, где можно будет считывать часть памяти, указав диапазон

[Demon]

Хотел попробовать на м73, не могу понять как установить компорт. Написано ком-4, но у меня свободные порты определяет 1,5 и 6. Лучше б что бы все-таки был первый.

Логгер тоже непонятно. Нажимаю начать запись, в первом порту пишет ошибка.

Объясните как и чего должно работать.

 

Или программа работает через ЮСБ порт? Пожалуйста по порядку...

[dylan Автор]

и логгер и программка работает через обычный k-line (com-порт реальный или виртуальный через usb).

порт для программы настраивается в settings.txt там нужно просто изменить цифру порта. у меня com4 по умолчанию, вот и сделал.

 

а ошибку логгер может выдавать если порт уже занят другой программой.

 

сам логгер нужен чтобы подсматривать обмен данными с других сканеров. схему подключения для логгера была в 6-ом посте...

[Demon]

Теперь понятно.

С м73 работать не хочет. Пишет проверьте зажигание. Хотя другой сканер соединяется. Пробовал на классике с прошивкой RB06.

[Demon]

К Бош 797+ пишет что подключился. Читает ошибки. Иденты не видит, на просмотр стандартных данных пишет что функция не существует, подбор пароля - отказ, чтение памяти ( memory-map ) - функция не доступна и т.д.

Еще нужна кнопка - разъеденить связь. Иначе что бы выбрать другую функцию нужно сначала закрыть программу и заново запустить.

[dylan Автор]

Читает ошибки. Иденты не видит, на просмотр стандартных данных пишет что функция не существует

Он перебирает всю возможную идентифиукацию. Обычно она с адреса 0x90... То же самое и с данными

 

подбор пароля - отказ

Такой вот блок

 

 

чтение памяти ( memory-map ) - функция не доступна и т.д.

Он смотрит всю память шагом в 256 байт. Если отказ, значит по этому адресу нет памяти, нужно перебирать дальше

[dylan Автор]

Подправил программку.

 

Появилась кнопка разъединить.

 

Поиск области памяти сохраняет адреса диапазонов. Для полного поиска памяти нужно минут 15-25... Найденые диапазоны описываюся в окне сообщений.

 

Появилась возможность сохранить дамп. Кнопка становится активна после поиска области памяти. Возможно просто отключиться, если надоело ждать полного перебора, найденые диапазоны он уже сохранил. Одно но: пока сохраняет только до старшего байта (завтра переделаю), то есть максимально 65 килобайт.

 

Пробуйте, если будут вопросы - жду

iso14230_research_tool.zip

[Demon]

Подправленая не хочет соединяться. Пишет "нет ответа на быструю инициализацию".

[dylan Автор]

а раньше подключалась? может не подключен адаптер?

[Demon]

Предыдущая версия подключается. Я адаптер не трогаю, блок подключен через 81 пин постоянно. Только прогроаммы меняю.

[AVA]

Использую программу на одном очень интересном блоке, есть пару вопросов, хочу пообщаться в аське.