安裝驅(qū)動(dòng)教程

1、PM3Easy3.0 快速上手指導(dǎo)3一 硬件說(shuō)明41. 設(shè)備的安裝：4A. 首先安裝銅柱：4B. 再安裝上板：4C. 安裝低頻天線：5D. 貼保護(hù)膜：52. IC 高頻卡放置位置：63. ID 低頻卡放置位置：74. 其他參數(shù)：8二 驅(qū)動(dòng)安裝8驅(qū)動(dòng)安裝不成功原因以及解決辦法：12三 快速測(cè)試基本功能121.天線電壓測(cè)試：132.讀高頻卡測(cè)試：133.讀低頻卡測(cè)試：14四 卡片基礎(chǔ)知識(shí)15常見的卡片有：15M1 S50 卡介紹15M1 UID 卡介紹17M1 FUID、CUID 卡介紹18ID，HID,卡介紹181T5577 卡介紹19五 卡片安全性測(cè)試（是否可以被）. 23總體流程23思路：2

2、41.嘗試獲得卡片 16 個(gè)扇區(qū)中的任意一個(gè)密匙242.通過(guò)已知的密匙，獲得所有扇區(qū)密匙323.讀出卡片數(shù)據(jù)到電腦344.電腦中的卡片數(shù)據(jù)，并寫入到 UID 卡中345.檢驗(yàn)數(shù)據(jù)，完成克隆35六 低頻卡的操作：351. 讀ID、HID、INDALA 等卡：352. 向T5577 卡片寫入不同類型來(lái)克隆卡片：36克隆成 ID 卡：36克隆成 HID 卡：37克隆成 INDALA 卡：37七 軟件介紹：38八 注意事項(xiàng)：381. 硬件事項(xiàng)：382. 軟件事項(xiàng)：39a) 電腦端軟件39b) 設(shè)備固件40九 指令介紹402十 固件的升級(jí)和替換45請(qǐng)參考文檔：“固件燒寫指導(dǎo)V1.0.pdf”45十一固件

3、的編譯45PM3Easy3.0 快速上手指導(dǎo)3一硬件說(shuō)明1.設(shè)備的安裝：A.首先安裝銅柱：B.再安裝上板：4在上板上擰螺絲和銅柱C.安裝低頻天線：提示：低頻天線亦可安裝在上下左右四個(gè)面對(duì)稱位置，可根據(jù)喜好來(lái)選擇。推薦方式下，兩種天線互相影響最小。D.貼保護(hù)膜：52.IC 高頻卡放置位置：推薦放置在設(shè)備背面，和設(shè)備對(duì)齊的位置，是最穩(wěn)定的。6亦可如上圖放置卡片，通常情況下沒(méi)問(wèn)題，另外注意遠(yuǎn)離金屬物體和金屬桌面。3.ID 低頻卡放置位置：卡片緊貼于圓形天線上即可有些ID 卡信號(hào)不好，可以把圓形天線左側(cè)安裝，讀卡靈敏度會(huì)提升74.其他參數(shù)：(低頻天線右側(cè)安裝時(shí))# LF antenna: 29.84

4、V 125.00 kHz # LF antenna: 32.31V 134.00 kHz# HF antenna: 28.43V 13.56 MHz(低頻天線左側(cè)安裝時(shí))# LF antenna: 43.86 V 125.00 kHz# LF antenna: 24.48 V 134.00 kHz # HF antenna: 25.13 V 13.56 MHz工作電壓：3.5-5.5V工作電流：50-130mA：54mm*86.6mm：6.2mm（最?。?9.8mm（加螺絲）15.8（加低頻天線）出廠固件版本：2.0.0二驅(qū)動(dòng)安裝以下為W7 64 的安裝示例流程。不同系統(tǒng)的安裝略有出入，請(qǐng)參考

5、此文件夾下的引導(dǎo)來(lái)操作：8厚度長(zhǎng)寬1.把 PM3 連接至電腦，在設(shè)備管理器中未知設(shè)備右鍵點(diǎn)屬性2.點(diǎn)擊更新驅(qū)動(dòng)程序3.94.5.下一步后，從磁盤安裝6.選擇驅(qū)動(dòng)目錄，選擇驅(qū)動(dòng)文件107.下一步8.，完成驅(qū)動(dòng)安裝如果一切正常，則會(huì)出現(xiàn)虛擬串口。如下圖：COM5 可以是任何數(shù)，至此驅(qū)動(dòng)安裝完成。11驅(qū)動(dòng)安裝不成功原因以及解決辦法：1.驅(qū)動(dòng)簽名認(rèn)證沒(méi)有關(guān)閉，關(guān)閉驅(qū)動(dòng)簽名認(rèn)證即可。2.WINDOWS 可能是精簡(jiǎn)GHOST 版本。3.使用了虛擬機(jī)等方式連接設(shè)備。4.系統(tǒng)缺少依賴文件。5.換一臺(tái)電腦，或者換一個(gè) USB 口試一下。如遇以上問(wèn)題，請(qǐng)按照引導(dǎo)操作：PM3 兼容系統(tǒng)：XP/W7/W7 64/W8

6、/W10/LINUX/Android(需要具備相關(guān)知識(shí))三快速測(cè)試基本功能首先在管理器中查看串：然后打開此目錄下的文件：雙擊打開之后選擇對(duì)應(yīng)串口如果下方是空白，說(shuō)明連接正常。如果顯示表示連機(jī)不正常。嘗試重新拔插USB，先把串選擇成別的，然后插上 USB 后，叮咚聲后，再把串口選擇成正確的串口即可。注意如果連續(xù)幾次無(wú)法打開串口，需要在任務(wù)管理關(guān)閉“Proxmark3.exe”進(jìn)程121.天線電壓測(cè)試：測(cè)試天線的諧振電壓時(shí)，天線周圍不能放置卡片或者金屬，否則測(cè)量結(jié)果會(huì)偏低。2.讀高頻卡測(cè)試：可以嘗試把“M1 S50”“M1 UID”不同卡放在天線上測(cè)試卡片。133.讀低頻卡測(cè)試：可以嘗試把“HID

7、”“T5577”不同卡放在天線上測(cè)試卡片類型。這個(gè)指令讀 ID 卡靈敏度不好，有些卡讀不出來(lái)時(shí)，需要用另一個(gè)指令來(lái)讀，如下圖：14讀出后向上翻頁(yè)，如下圖，紅框就是 ID 的：注意：有些 T5577在未初始化之前，是讀不出來(lái)的，我們需要寫入一次 ID，就能讀了。有些卡則出廠默認(rèn)帶 ID 號(hào)。四卡片基礎(chǔ)知識(shí)常見的卡片有：M1 S50 卡介紹。M1 S50 是國(guó)內(nèi)最常用的卡，也就是我們俗稱的。由飛利浦公司旗下恩智浦（NXP）開發(fā)，國(guó)產(chǎn)也有兼容卡，但是卡片信息是判斷不出來(lái)的，卡片信息如下：15類型頻率特性Mifare S50(簡(jiǎn)稱M1)高頻最常見的卡，每張卡獨(dú)一無(wú)無(wú)二 UID 號(hào)，可存儲(chǔ)修改數(shù)據(jù)（學(xué)生

8、卡，飯卡，公交卡，門禁卡）Mifare UltraLight(簡(jiǎn)稱M0)高頻低成本卡，出廠UID，可修改數(shù)據(jù)（地鐵卡，公交卡）Mifare UID（Chinese magic card）（簡(jiǎn)稱 UID 卡）高頻M1 卡的變異版本，可修改 UID，國(guó)外叫做中國(guó)魔術(shù)卡，可以用來(lái)完整克隆 M1 S50 的數(shù)據(jù)EM4XX(簡(jiǎn)稱 ID 卡)低頻常用ID 卡，出廠ID，只能讀不能寫（低成本門禁卡，小區(qū)門禁卡，停車場(chǎng)門禁卡）T5577（簡(jiǎn)稱可修改 ID 卡）低頻可用來(lái)克隆ID 卡，出廠為，內(nèi)有扇區(qū)也可存數(shù)據(jù)，個(gè)別扇區(qū)可設(shè)置。HID Prox II（簡(jiǎn)稱 HID）低頻美國(guó)常用的低頻卡，可擦寫，不與其他卡通用看

9、到 TYPE : NXP MIFARE CLASSIC 1k | Plus 2k SL1 的時(shí)候就代表這是 M1 S50 卡。這種卡片就像個(gè)小容量 U 盤，天生強(qiáng)制加密。不可以取消。廠家出廠會(huì)把設(shè)置成大家都知道的默認(rèn)，F(xiàn)FFFFFFFFFFF。方便使用。如上圖，是一張卡的數(shù)據(jù)結(jié)構(gòu)，其中一共有 16 個(gè)扇區(qū)，每個(gè)扇區(qū)由 4 個(gè)塊組成，4 個(gè)塊中前三塊用來(lái)數(shù)據(jù)，最后一塊用來(lái)。就像一個(gè)加密的小 U 盤，每個(gè)扇區(qū)有兩個(gè)來(lái)共同管理。單個(gè)扇區(qū)數(shù)據(jù)截圖：可以看到這個(gè)扇區(qū)里，一共有四行，每行就是一個(gè)塊，前三個(gè)塊是數(shù)據(jù)的。16第四個(gè)塊是的，兩個(gè)黃圈分別是 A和 B，中間四個(gè)字節(jié)是控制字，是管理權(quán)限用的，就像保險(xiǎn)

10、箱的設(shè)置選項(xiàng)，用來(lái)設(shè)置 A 和 B的功能。默認(rèn)不修改的時(shí)候，可以用 A讀寫所有數(shù)據(jù)。A不可以讀出，B可以用 A讀出。雖然在那里，但是不一定是可以的，這個(gè)由控制字來(lái)決定，詳細(xì)對(duì)照表設(shè)置表見【卡片資料】文件夾。M1 卡中除了第一個(gè)扇區(qū)稍有不同，其他 15 個(gè)扇區(qū)結(jié)構(gòu)完全一樣，下圖是第一個(gè)扇區(qū)結(jié)構(gòu)：紅圈既是卡片 UID 號(hào)，是每張卡獨(dú)一無(wú)二，不可修改的 ID 序列，不需要可以讀。第一扇區(qū)的 0 塊的其余數(shù)據(jù)都是廠家出廠內(nèi)置的，包含了廠家和卡片信息。不可以修改。只能讀。M1 UID 卡介紹M1 UID 卡是國(guó)人針對(duì) M1 S50 卡特制的變種卡，用起來(lái)和 M1 S50 完全一樣，只是多了一個(gè)功能，就是

11、 0 扇區(qū)塊的數(shù)據(jù)可以隨意修改。因此 UID 號(hào)也可以隨意修改，廠家信息也可以隨意修改，UID 卡因此得名。如圖顯示“YES”表示是 UID 卡。但是也有些兼容性不好的 UID 卡會(huì)顯示 NO，17兼容性不好的卡使用兩種軟件都可以寫入，但是讀出數(shù)據(jù)時(shí)，中文 GUI 讀不出，英文GUI 可以讀出確實(shí)最后一塊的整數(shù)據(jù)。這樣修改的好處就是可以完美M1 S50 卡，做到 UID 號(hào)也完全一樣。這樣讀卡機(jī)如果有驗(yàn)證 UID 號(hào)就沒(méi)有問(wèn)題了。UID 卡修改 0 扇區(qū) 0 塊數(shù)據(jù)是靠指令進(jìn)入工廠模式，可以直接對(duì)全卡任何數(shù)據(jù)編輯，不需要即可讀寫卡，同時(shí)不怕寫壞卡，即使寫錯(cuò) 0 塊，寫壞扇區(qū)控制字，也可以隨時(shí)修

12、復(fù)回來(lái)，絲毫不影響后續(xù)使用，所以應(yīng)用廣泛，深得人心。但是缺點(diǎn)是，現(xiàn)在新的讀卡系統(tǒng)，通過(guò)檢測(cè)卡片對(duì)特殊指令的回應(yīng)，可以檢測(cè)出UID 卡，因此可以來(lái)拒絕 UID 卡的，來(lái)達(dá)到卡的功能。但是畢竟還是少數(shù)。M1 FUID、CUID 卡介紹FUID 卡是國(guó)人針對(duì) UID 卡做的優(yōu)化，如上提到的，UID 卡會(huì)被檢測(cè)出來(lái)，因此被。FUID 卡是沒(méi)有后門的 UID 可修改的卡，他的 0 扇區(qū) 0 塊數(shù)據(jù)一生中只能修改一次，除此之外，和 M1 標(biāo)準(zhǔn)卡完全一樣，所以難以檢測(cè)。CUID 卡則是針對(duì) FUID 卡做的優(yōu)化，如上提到，因?yàn)橹荒軐懭胍淮?0 塊，因此如果寫錯(cuò)了，或者重復(fù)利用就很，所以 CUID 卡可以重復(fù)

13、修改 0 塊，但是他和 UID卡的區(qū)別是，他沒(méi)有后門，使用常規(guī)驗(yàn)證的方式即可寫 0 塊，其他扇區(qū)和標(biāo)準(zhǔn) M1卡相同。缺點(diǎn)是，依然有被檢測(cè)的可能，同時(shí)如果不寫錯(cuò)了 UID 號(hào)的校驗(yàn)位，導(dǎo)致無(wú)法讀卡，這時(shí)候沒(méi)法修復(fù)卡片，卡片只能報(bào)廢處理。注意，PM3 可以寫以上兩種卡，但是英文軟件只能一個(gè)一個(gè)塊手工寫卡，我們中文 GUI 軟件則可以直接把數(shù)據(jù)文件整個(gè)寫入卡中，方便使用。ID，HID,卡介紹18ID 卡是我們的俗稱，內(nèi)部的全名叫做 EM4100 或EM41XX，是低頻卡，每張卡出廠就有獨(dú)一無(wú)二的ID 號(hào)，不可改寫。HID Proxcard 卡類似。T5577 卡介紹T5577 卡是一種可以寫入數(shù)據(jù)可

14、以加密的低頻卡。最特別之處是，寫入ID 號(hào)可以變身成為 ID 卡，寫入 HID 號(hào)可以變身 HID 卡，寫入Indala，可以變身Indala 卡。我們先把 5577 卡寫入 ID:1111111111，這時(shí) 5577 已經(jīng)變身為 ID 卡了，然后使用讀 5577 全卡數(shù)據(jù)指令來(lái)看全卡數(shù)據(jù)：如上圖，寫入 ID 后卡片前 3 個(gè)塊會(huì)被 PM3 自動(dòng)計(jì)算好，寫入數(shù)據(jù)，達(dá)到變身效果。不要看后面的 0 和 1，只看前面的數(shù)據(jù)，5577 一共有 8 個(gè)塊，每個(gè)塊只能存8 位數(shù)。第 0 塊是用來(lái)設(shè)置卡片類型和調(diào)制方式的，決定了卡片是ID 卡還是 HID卡。如果隨意修改會(huì)導(dǎo)致讀不到卡。第 7 塊最后一個(gè)塊，

15、在沒(méi)有加密時(shí)是數(shù)據(jù)區(qū)，加密后，其數(shù)據(jù)就變成了。注意：有時(shí)候?qū)懭?ID 后的 5577 卡刷卡后沒(méi)反應(yīng)，再拿回 PM3 上讀不到 ID號(hào)。說(shuō)明讀卡機(jī)有，為防止ID卡專門設(shè)計(jì)。這種情況需要對(duì) 5577 加密后方可穿。19ID 卡： 0 塊寫： 00148040 無(wú)密HID 卡：0 塊寫：00107060 無(wú)密00148050 加密00107070 加密給 ID 卡加密步驟：寫 ID 號(hào)讀 57 全卡數(shù)據(jù)（看）寫 0 塊數(shù)據(jù)再讀全卡數(shù)據(jù)（驗(yàn)證）完成PM3 讀未加密 5577 全卡數(shù)據(jù)的辦法：20注意，如果是加密 5577 是無(wú)法檢測(cè)配置，或者讀出的塊全部都是一樣的數(shù)據(jù)。取消加密時(shí)寫 5577 卡：2

16、1以下表格來(lái)自RADIOWAR，清楚地展示出 PM3 對(duì)卡片的支持22此表格僅做參考，大部分卡片國(guó)內(nèi)很少見，因此未做測(cè)試。五卡片安全性測(cè)試（是否可以被總體流程）先讀卡判斷卡片類型，是 ID 卡還是。注意，卡片外形和型號(hào)無(wú)關(guān)，相同的可以封裝成完全不同的外形：ID 卡：讀卡片 ID 號(hào)換上 T5577 卡把 ID 號(hào)寫入卡片完成23：漏洞讀全卡數(shù)據(jù)換上 UID 卡把數(shù)據(jù)寫入卡片完成思路：1.獲得任意扇區(qū)的密匙（以下任一都可以）a.PRNG 漏洞得 0 扇區(qū)密匙b.默認(rèn)掃描獲得密匙c.讀卡機(jī)和卡片交互數(shù)據(jù)獲得密匙d.模擬成 M1 卡刷卡后捕獲密匙（挑讀卡機(jī)，兼容性不好）2.利用 MFOC 漏洞，用已

17、知扇區(qū)密匙求所有扇區(qū)密匙3.用出的密匙把卡片數(shù)據(jù)讀出導(dǎo)入電腦4.放上 UID，把電腦中的數(shù)據(jù)寫入卡中1.嘗試獲得卡片 16 個(gè)扇區(qū)中的任意一個(gè)密匙有四種辦法，任何一種獲得了密匙，即可進(jìn)行下一步。a)（只需要卡片）通過(guò) PRNG 漏洞，無(wú)條件獲得 0 扇區(qū)密匙。i.指令 hf mf mifare，或點(diǎn)擊指令樹中的 DARKSIDE ATTACK24點(diǎn)擊開始之后，卡片不能貼在天線中間，需要向邊沿移動(dòng)，直至 ABCD 有閃動(dòng)，說(shuō)明卡片可以，保持位置不變，等待即可。完成后，會(huì)顯示如圖的結(jié)果，紅框內(nèi)是 0 扇區(qū)密匙。如果卡片不支持，或者不放卡片，十秒后會(huì)卡死機(jī)，重新連接 PM3 即可。可以先用贈(zèng)送的 M

18、1 S50 練習(xí)。ii.注意事項(xiàng)：不是所有卡片都能順利，有時(shí)需要碰運(yùn)氣。UID 卡不支持，也不需要，不需要可以直接到數(shù)據(jù)。iii. 原理：如果有了解機(jī)制可以參考“The-MIFARE-Hack-1.PDF”，非常詳盡。b)使用卡片廠家常用默認(rèn)測(cè)試卡片，掃描扇區(qū)是否存在默認(rèn)密匙。i.指令：hf mf chk * ? ，或點(diǎn)擊指令樹中的Test Block Keys25先放好卡片，在進(jìn)行默認(rèn)掃描如圖，最上面是字典中的常見的 12 種默認(rèn)，將會(huì)依次用這些驗(yàn)證卡片。如果出現(xiàn)紅框中“Found valid key:ffffffffffff ”表示找打了對(duì)應(yīng)密匙，密匙內(nèi)容是“ffffffffffff”，上

19、面方框是密匙對(duì)應(yīng)的扇區(qū)號(hào)。如果卡片不存在默認(rèn)密匙，則有如上的提示。ii.注意事項(xiàng)：有時(shí)掃描默認(rèn)密匙可能會(huì)有小 BUG，所以一定要對(duì)結(jié)果進(jìn)行驗(yàn)證，才得以信任。iii. 原理26預(yù)存了 12 組世界范圍內(nèi)，卡片出廠的默認(rèn)密匙，依次測(cè)試。國(guó)內(nèi)卡片出廠默認(rèn)一般都是“ffffffffffff”。c)（需要去現(xiàn)場(chǎng)）把天線置于卡片和讀卡機(jī)之間通訊數(shù)據(jù)，解出一個(gè)扇區(qū)密匙。i.指令：hf mf sniff，或點(diǎn)擊指令樹中的 Sniff 或 SNOOP獲得不能指定，是讀卡機(jī)了卡片的哪個(gè)扇區(qū)，才可以獲得哪個(gè)密碼，在無(wú)法獲得其他的時(shí)候，只需這幾個(gè)扇區(qū)的數(shù)據(jù)即可使用，不需要復(fù)制整張卡片的數(shù)據(jù)。點(diǎn)擊開始之后，PM3 高頻

20、讀卡區(qū)夾在卡片和讀卡機(jī)之間，然后刷卡。三者之間都不能貼的太近，兩邊不能有金屬遮擋。27一般情況可以先把 PM3 貼在讀卡機(jī)上很近的地方，PM3 和讀卡機(jī)位置不變，然后拿卡在 PM3 上方多次刷，獲得數(shù)據(jù)最穩(wěn)定，但是讀卡距離會(huì)很近，如果讀卡機(jī)識(shí)別不到卡，可以逐漸拉開PM3 和讀卡機(jī)的距離，直至可以正常刷卡，效果是最佳。時(shí)要根據(jù)實(shí)際情況做調(diào)整。如上圖，刷一次卡后，拿開等待幾秒，電腦會(huì)返回到的數(shù)據(jù)。注意尋找 60 或者 61 開頭的數(shù)據(jù)，60 含義是使用 A，61 是使用 B。開頭是 RDR 的是讀卡機(jī)發(fā)出的指令，TAG 則是卡片發(fā)出的指令。紅圈中表示讀卡機(jī)了第 21 個(gè)塊。21 是十六進(jìn)制，轉(zhuǎn)換成

21、十進(jìn)制是 33 塊第一個(gè)方框“b2a6de1d”是卡片 UID第二個(gè)方框“f80eee3c”是 tag challenge(卡片數(shù))第三個(gè)方框“4ec88403”是reader challenge(數(shù))第四個(gè)方框“d2dd5180”是 reader respones(響應(yīng)數(shù))第五個(gè)方框“2bb17b5e”是 tag respones(卡片回應(yīng)數(shù))依次填入“crapto1gui.exe”這個(gè)軟件中。（在“小工具”文件夾中）28點(diǎn)擊 crak key 即可計(jì)算出密匙，結(jié)論是：讀卡機(jī)使用 A了第 33 塊使用的密碼是FFFFFFFFFFFFii.注意事項(xiàng)時(shí)，天線一定要在卡片和讀卡機(jī)之間，弄錯(cuò)順序會(huì)得

22、不到完整數(shù)據(jù)。讀卡機(jī)必須是平時(shí)讀這張卡的，不一定非要是發(fā)卡機(jī)。如果得不到密匙可能是讀卡機(jī)沒(méi)有用卡片扇區(qū)，也可能是讀卡機(jī)信號(hào)不好所致。如果現(xiàn)場(chǎng)不允許帶電腦。想要離線時(shí)，需要刷固件到 816 版本。816 下使用的指令是 SNOOP 而不是 Sniff，指令后，打開電源開關(guān)， 拔掉USB，和卡片一同靠近讀卡機(jī)，多來(lái)回刷幾下，直到 A 燈熄滅。插回電腦，使用hf 14a list 即可查看，可能會(huì)先復(fù)位一下，但是數(shù)據(jù)依然在，等待幾秒電腦叮咚后，再次hf 14a list 即可查看數(shù)據(jù)。千萬(wàn)不能關(guān)閉 PM3 電源開關(guān)，否則會(huì)丟失數(shù)據(jù)。下圖是兩種指令的區(qū)別對(duì)比。29需要注意 SNOOP，自動(dòng)挑揀。需要人

23、工找出有效數(shù)據(jù)段。一般以類似的數(shù)據(jù)長(zhǎng)度和形態(tài)來(lái)判斷。如上圖數(shù)據(jù)，93 70 打頭含義是選中 UID 為 b2 a6 de 1d 的卡片，后面往往會(huì)有有效數(shù)據(jù)。讀卡機(jī)選中卡片后，就是準(zhǔn)備卡片了。iii. 原理M1 卡在讀卡機(jī)和卡片交互數(shù)據(jù)和時(shí)，使用了 crapto1 算法。即便同一張卡，同樣的，得到交互數(shù)據(jù)也是隨機(jī)的，但是只要獲得前面提到的四組隨機(jī)數(shù)組，以及 UID，就可以反解出密匙。d)（需要去現(xiàn)場(chǎng)）把天線模擬成 M1 卡，誘發(fā)讀卡機(jī)讀卡，捕獲數(shù)據(jù)，解出一個(gè)扇區(qū)密匙。i.指令：hf mf simx，或點(diǎn)擊指令樹中的SIMULATOR30848 固件下（老）2.X.0 固件下（新）SNOOP 指

24、令Sniff 指令SNOOP 指令Sniff 指令功能讀卡機(jī)和卡片完整交互數(shù)據(jù)無(wú)讀卡機(jī)和卡片完整交互數(shù)據(jù)僅顯示M1 卡的關(guān)鍵數(shù)據(jù)用法預(yù)存在 PM3 里面，使用hf 14a list 查看無(wú)預(yù)存在 PM3 里面，使用hf list 14a 查看在電腦實(shí)時(shí)顯示 的關(guān)鍵數(shù)據(jù)長(zhǎng)度很短無(wú)很長(zhǎng)無(wú)限數(shù)據(jù)完整性整，容易丟包，挑無(wú)數(shù)據(jù)完整，清晰，注釋清楚數(shù)據(jù)完整，清晰，注釋清楚離線支持無(wú)不支持不支持對(duì)象支持 14443A的任何卡無(wú)支持 14443A的任何卡僅提取 M1 卡數(shù)據(jù)在右邊可以不填寫需要模擬的 UID，PM3 會(huì)自動(dòng)選擇一個(gè)默認(rèn) UID，如下圖然后靠近讀卡機(jī)刷卡。完畢后按按鈕，會(huì)自動(dòng)返回?cái)?shù)據(jù)。 諸如：利

25、用插件即可解出。首先打開如下的批處理文件，修改其中的數(shù)據(jù)替換為自己的數(shù)據(jù)。替換完成后，雙擊打開批處理，獲得結(jié)果：31ii.注意事項(xiàng)注意此功能不是百分百，對(duì)有些讀卡機(jī)兼容不好，無(wú)法獲得正確的返回。iii. 原理略2.通過(guò)已知的密匙，獲得所有扇區(qū)密匙使用指令，【hf mf nested 1 0 A ffffffffffff d】一得多這是利用嵌套認(rèn)證漏洞使用任何一個(gè)扇區(qū)的已知密匙，獲取所有扇區(qū)的密匙，此漏洞成功率較高。示例中是表示 0 扇區(qū)的 A 密匙ff，可以看到尾椎加了一個(gè)“d”，不加d 就輸出密匙文件，加了 d 則是將密匙保存到文件 dumpkeys.BIN。使用nested 時(shí)注意要選擇正

26、確的卡片容量。1-4K。32下圖是成功的截圖：333.讀出卡片數(shù)據(jù)到電腦使用如上指令即可。到的卡片數(shù)據(jù)文件保存在了根目錄中，dumpdata.bin4.電腦中的卡片數(shù)據(jù)，并寫入到 UID 卡中使首先我們要轉(zhuǎn)換 dumpdata.bin 文件到xx.eml 格式，這個(gè)格式可以用記事本打開查看，才可以被PM3 調(diào)取寫入 UID 卡。34如下圖，調(diào)取.eml 文件寫入到 UID 卡，克隆完成。如果遇到寫入后，卡片無(wú)法，或者數(shù)據(jù)錯(cuò)亂，可以使用如下辦法，可靠寫入：5.檢驗(yàn)數(shù)據(jù)，完成克隆六低頻卡的操作：1.讀ID、HID、INDALA 等卡：35首先，EM4X 就是我們常說(shuō)的 ID 卡的，屬于低頻卡，要放

27、在圓形天線。讀卡后，會(huì)顯示如下數(shù)據(jù)，“Valid EM410X ID Found！”表示讀到了 ID 卡的序號(hào)。下上圖中 EM TAG ID 后面的序號(hào)，即可。如果是 HID 卡會(huì)顯示【HID】。如果是 INDALA 會(huì)顯示【INDALA】。2.向T5577 卡片寫入不同類型來(lái)克隆卡片：克隆成 ID 卡：36克隆成 HID 卡：克隆成 INDALA 卡：37七軟件介紹：如圖是對(duì)軟件界面的初步翻譯和說(shuō)明，幫助理解軟件指令樹的含義。如何避免多次重啟軟件的麻煩：PM3 在運(yùn)行一些指令時(shí)經(jīng)常容易死機(jī)，需要重連 USB。往往軟件也需要重開。如果斷開 USB 后，把串口選成其他的編號(hào)，插上PM3，叮咚聲后

28、，再把串口選回來(lái)成正確編號(hào)。這樣即可避免每次重啟軟件的麻煩。八注意事項(xiàng)：1.硬件事項(xiàng)：PM3 由于是國(guó)外者業(yè)余開發(fā)，所以在易用性和人性化上并沒(méi)有考慮太多，所以會(huì)經(jīng)常死機(jī)，有些指令沒(méi)有明確的成功失敗回復(fù)，還有一些細(xì)節(jié)處理的也不好。38因此在設(shè)備運(yùn)行指令時(shí)，如果卡片不支持或者不放卡，會(huì)直接死機(jī)，死機(jī)后需要隨時(shí)重新拔插設(shè)備來(lái)迫使電腦的串口連接正常。在運(yùn)行過(guò)程中，要以設(shè)備上的ABCD 四個(gè) LED 作為運(yùn)行依據(jù)，如果LED 在閃動(dòng)，說(shuō)明正在進(jìn)行中，如果完全熄滅或者常亮代表失敗，等待全部熄滅表示已經(jīng)停止運(yùn)行了，直接重新拔插設(shè)備即可。2.軟件事項(xiàng)：a)電腦端軟件軟件可以使用 CMD令行亦可使用圖標(biāo)的英文G

29、UI，也可以使用我們開的中文 GUI。39CMD 命令行（PM3 指令臺(tái).bat）英文 GUI（Proxmark Tool.exe）本店中文 GUI（Proxmark3_EASY_GU I.exe）原理調(diào)用Proxmark3.exe調(diào)用Proxmark3.exe調(diào)用 Proxmark3.exe報(bào)毒無(wú)無(wú)會(huì)誤識(shí)別報(bào)毒讀寫UID 卡可讀寫，兼容顯示“NO”的 UID 卡可讀寫，兼容顯示“NO”的 UID 卡可讀寫，只能讀寫兼容性好的 UID 卡讀寫FUID/CUID可讀寫，需要手工單獨(dú)寫塊可讀寫，需要手工單獨(dú)寫塊可讀寫，載入文件后自動(dòng)寫全卡易用性不易用，需要背誦英文指令，但操作拉風(fēng)一般易用，需要看英

30、文操作，功能全面易用，把常用功能提取后，加入了小功能兼容性高兼容性，可跨平臺(tái)Windows 平臺(tái)兼容性好有時(shí)打開會(huì)閃退，打開兩次可以解決鑰匙扣卡DUMP 數(shù)據(jù)沒(méi)有自動(dòng)重讀機(jī)制， 容易中斷不流暢。沒(méi)有自動(dòng)重讀機(jī)制， 容易中斷不流暢。加入了自動(dòng)重讀機(jī)制， 小卡也流暢b)設(shè)備固件固件從老到新排列：r4867568168488521.0.02.0.02.5.0以前老固件輸入 hw version 直接可以看到版本號(hào)。1.0.0 之后只會(huì)返回日期，通過(guò)日期來(lái)判斷版本號(hào)。2.0.0： #db# bootrom: /-suspect 2015-04-02 15:12:04#db# os: /-suspect

31、 2015-04-02 15:12:11#db# HF FPGA image built on 2015/03/09 at 08:41:422.5.0： bootrom: /-suspect 2015-11-19 10:08:02os: /-suspect 2015-11-19 10:08:09LF FPGA image built for 2s30vq100 on 2015/03/06 at 07:38:04HF FPGA image built for 2s30vq100 on 2015/11/ 2 at9: 8: 8推薦使用 2.0.0 固件。最新 2.5.0 固件經(jīng)過(guò)測(cè)試，一密求多密容

32、易產(chǎn)生 ERROR，新固件的新功能有些東西用不上，但是往往拆東墻補(bǔ)西墻，老的功能會(huì)受影響。九指令介紹【hw tune】天線調(diào)諧電壓測(cè)試指令是用來(lái)測(cè)試天線諧振電壓的。測(cè)試的時(shí)候，要將天線直立，周圍遠(yuǎn)離金屬，遠(yuǎn)離卡片，才能獲得準(zhǔn)確電壓。有時(shí)電壓可能會(huì)比標(biāo)稱值低一些。天線的電壓絲毫不影響任何操作和功能，實(shí)際上高頻超過(guò) 5V，低頻超過(guò) 10V 就可以正常使用。只是電壓越高讀卡距離越遠(yuǎn)。40【hf 14a reader】讀卡的類型作為，讀高頻卡ID，測(cè)試高頻卡的類型，先放卡，再執(zhí)行命令?！緃f mf chk 0 A ffffffffffff】檢測(cè)針對(duì)M1 卡，檢查 0 扇區(qū)的 A是否為 ff.【hf m

33、f chk *1 ? t】檢測(cè)默認(rèn)針對(duì) M1 卡，檢查所有扇區(qū)是否存在默認(rèn)，也就是自動(dòng)使用字典中的默認(rèn)密碼對(duì) 16 個(gè)扇區(qū)驗(yàn)證一遍。（大部分卡片使用時(shí)都是對(duì)使用的扇區(qū)修改了，未使用的則是出廠默認(rèn)，個(gè)別廠家默認(rèn)會(huì)有不同，PM3 內(nèi)置了十多種常見默認(rèn)）【hf mf mifare】PRNG這是PRNG 漏洞進(jìn)試，能直接通過(guò)漏洞算出第一個(gè)扇區(qū)的，也叫做，不是所有卡支持此漏洞。有時(shí)過(guò)程中會(huì)提示英文“Cant select card”這是 BUG 提示，請(qǐng)忽視。如果運(yùn)行中 ABCD 在不斷閃爍，表示可以，等待結(jié)果即可。對(duì)于不支持的卡片，無(wú)論如何調(diào)整卡片位置，LED 都有變化，最終PM3 會(huì)出現(xiàn)復(fù)位掉線。（

34、PRNG 漏洞介紹：9a%84%e9%94%99%e8%af%af%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90%e7%9c%8bmifare-classic%e5%ae%89%e5%85%a8.html）41【hf mf nested 1 0 A ffffffffffff d】一得多這是利用嵌套認(rèn)證漏洞使用任何一個(gè)扇區(qū)的已知密匙，獲取所有扇區(qū)的密匙，此漏洞成功率較高。示例中是表示 0 扇區(qū)的 A 密匙ff，可以看到尾椎加了一個(gè)“d”，不加d 就輸出密匙文件，加了 d 則是將密匙保存到文件 dumpkeys.BIN。使用nested 時(shí)注意要選擇正確的卡片容量。1-4

35、K?！緃f mf dump】卡片數(shù)據(jù)保存在 dumpdata.BIN此命令是在獲得所有密匙的前提下，將卡片所有扇區(qū)的數(shù)據(jù)讀出并保存在二進(jìn)制文件 dumpdata.BIN。然后可以使用“UltraEdit”可打開文件，并且與別的數(shù)據(jù)做交叉對(duì)比。UltraEdit 安裝包在“小工具”中?！緃f mf cload e dumpdata.eml】克隆數(shù)據(jù)到UID 卡把 dump 數(shù)據(jù)寫入到 UID 卡里。后面跟數(shù)據(jù)文件名“dumpdata.eml”。前面產(chǎn)生的 dumpdata.bin 不可直接導(dǎo)入，需要轉(zhuǎn)換成 eml 再導(dǎo)入。Eml 格式的卡片數(shù)據(jù)必須包含完整 64 行數(shù)據(jù)，轉(zhuǎn)換完成，需要確認(rèn) dumpdata 的文件完整性。（轉(zhuǎn)換格式可以用自帶轉(zhuǎn)換）克隆完成，我們可