-
-
[原创]试着破解孔雀石SDR的序列号保护
-
2021-1-27 14:36
-
网上看到俄国这个孔雀石SDR收音机不错,但是有序列号保护,于是想试着看看能不能去掉,由于这个比较贵要上百元,我这样没收入的人根本买不起,所以不保证破解成功。
孔雀石SDR收音机作者提供的资料
https://yadi.sk/d/4ZgsrswxYClG1Q
作者直接提供了PCB和固件。
去掉这种序列号保护在专业人眼里非常简单,别人要么有硬件要么软件仿真一下就能找到,而我技术比较菜这次只通过看IDA反汇编的代码找。
由于没硬件网上找资料也没找到演示如何输入注册号码的,只找到一个烧写固件的视频,在视频结尾看到了序列号页面。
可以看到第2行是序列号,第四行估计应该就是输入的密码
这个SDR收音机是STM32H7的单片机做主控,于是下载参考手册,这种序列号保护一般是基于STM32上96位ID的。
打开手册找寄存器地址
打开用IDA 打开下载到的固件,方法网上和论坛上都有这里就不重复了。
搜索0x1FF1E800结果找不到。
于是搜索LCD屏幕上的英文THE,结果找到了
可以知道这个就是序列号显示函数,于是找那里调用了这个函数。
可以看到这个函数调用了ID显示函数
在这里可以看到0x1ff1e8xx,这明显就是读ID的函数,但是这个地址是0x1FF1E80B和 0x1FF1E7FF,难怪刚才搜索不到,可能作者故意的,地址8019B12的循环完成了读96位ID并且保存到0X2001AFC8
19B12 loc_8019B12 ADD.W R2, R3, R8 R2等于 R3+0XE00E1801,第一次相加超过32位正好等于0,第二次结果就是1了,结果随着R3自增 LDRB.W R1, [R3,#1]! 读取0X1FF1E800地址里面的8位数据到R1然后地址自增8位 CMP R3, R4 和R3和0X1FF1E80B比较看读没读完 STRB.W R1, [R9,R2] 把8位写入0X2001AFC8 BNE loc_8019B12 循环
再往下找看sub_800D748,可以知道ID号码经过了多次运算
seg000:0800D748 ; ID
seg000:0800D748 ; r0=ID地址0x2001AFC8
seg000:0800D748
seg000:0800D748 sub_800D748 ; CODE XREF: sub_8019AF8+2E↓p
seg000:0800D748 PUSH {R4-R6}
seg000:0800D74A MOVS R2, #0 ; R2=0
seg000:0800D74C SUBS R3, R0, #1 ; R3=R0-1
seg000:0800D74E ADD.W R5, R0, #0xB ; R5=R0+0X0B
seg000:0800D752
seg000:0800D752 loc_800D752 ; CODE XREF: sub_800D748+12↓j
seg000:0800D752 LDRSB.W R4, [R3,#1]! ; 读8位ID
seg000:0800D756 CMP R5, R3
seg000:0800D758 ADD R2, R4 ; ID累加
seg000:0800D75A BNE loc_800D752 ; 读8位ID
seg000:0800D75C LDRSB.W R3, [R0] ; 读ID 最低8位
seg000:0800D760 UBFX.W R2, R2, #0, #0xA ; 提取10位
seg000:0800D764 LDRSB.W R4, [R0,#0xB] ; 读ID最高8位
seg000:0800D768 SUBS R0, R1, #1 ; R0=0X2001AF54-1
seg000:0800D76A LDR R6, =unk_2001AE88
seg000:0800D76C ADDS R1, #7 ; R1=0X200001AF54 + 7
seg000:0800D76E ADD R3, R4 ; ID最高8位+ID最低8位
seg000:0800D770 LDR R5, =0x20001AC8
seg000:0800D772 LDR R4, =unk_2001AE8C
seg000:0800D774 ADD R3, R2 ; 最高8位+最低8位结果+ID累加提取的10位
seg000:0800D776 STR R2, [R6] ; ID累加提取的10位
seg000:0800D776 ; 保存到
seg000:0800D776 ; 0x200001AC8
seg000:0800D778 UBFX.W R3, R3, #0, #0xA ; ID最高8位
seg000:0800D778 ; 加
seg000:0800D778 ; ID最低8位
seg000:0800D778 ; 加
seg000:0800D778 ; ID累加结果提取的10位
seg000:0800D778 ; 的结果
seg000:0800D778 ; 提取10位
seg000:0800D77C STR R3, [R4] ; 保存到
seg000:0800D77C ; 0x20001AE8C
seg000:0800D77E
seg000:0800D77E loc_800D77E ; CODE XREF: sub_800D748+46↓j
seg000:0800D77E LDR.W R4, [R5,R3,LSL#2] ;
seg000:0800D77E ; r5=0x20001AC8
seg000:0800D77E ; 加
seg000:0800D77E ; r3扩展成32位
seg000:0800D77E ; 地址的数据放到
seg000:0800D77E ; R4
seg000:0800D782 ADD R3, R2 ;
seg000:0800D782 ; ID最高8位
seg000:0800D782 ; +
seg000:0800D782 ; ID最低8位
seg000:0800D782 ; +
seg000:0800D782 ; ID累加结果提取10位
seg000:0800D782 ; +
seg000:0800D782 ; ID蕾姐结果提取10位
seg000:0800D784 STRB.W R4, [R0,#1]! ;
seg000:0800D784 ; r4=0x20001ac8里面的数据
seg000:0800D784 ; 写到
seg000:0800D784 ; R0=0x2001AF54
seg000:0800D788 CMP R1, R0 ;
seg000:0800D788 ; R0=0x2001af54
seg000:0800D788 ; r1=0X20001AF5C
seg000:0800D788 ; 复制16位
seg000:0800D78A UBFX.W R3, R3, #0, #0xA ;
seg000:0800D78A ; ID最高8位
seg000:0800D78A ; +
seg000:0800D78A ; ID最低8位
seg000:0800D78A ; +
seg000:0800D78A ; ID累加结果提取10位
seg000:0800D78A ; +
seg000:0800D78A ; ID蕾姐结果提取10位
seg000:0800D78A ; =
seg000:0800D78A ; 结果提取10位
seg000:0800D78E BNE loc_800D77E
seg000:0800D790 POP {R4-R6}
seg000:0800D792 BX LR这个是比较关键的函数,看完这个就知道了计算后的ID被写入了0X2001AF54和0X2001AF58,而恰巧输入的密码也是两个32位数也就是16个4位数,正好和密码位数一样。
再看下面这个函数可以看到把0X2001AF20的一个数据读到了R0
继续看800FE30
先看8001148C
可以看到把0X50020414的第12位清零
到参考手册看这个是什么寄存器
可以看到从做的是GPIOB,打开后面的连接看寄存器页面
可以看到是输出数据的寄存器,第12位也就是GPIOB的第12个脚
接下来打开STM32H7数据手册找这引脚是干什么的,用的是LQFP100封装的芯片
打开作者提供的电路原理图,找GPIOB12,也就是上图PB12第51个引脚
可以看到连接外部FRAM的片选引脚
看这个知道怎么连接外部RAM并且知道是通过SPI2,从手册可以看到SPI2的地址
这个是操作外部FRAM的方法, 从sub_800FED0看到这里知道了这个就是读外部FRAM的,读了两个32位数
接着往下看
MOVS R0, #0x7E seg000:08019B2C BL sub_800FED0 ; 从外部FRAM读 seg000:08019B30 STR R0, [R5] ; 从外部FRAM读到的数据写到R5 seg000:08019B32 MOVS R0, #0x7F seg000:08019B34 BL sub_800FED0 ; 从外部FRAM读 seg000:08019B34 ; End of function sub_8019AF8 seg000:08019B34 seg000:08019B38 LDR R3, [R7,#4] ; 读0X2001AF58里面数据到R3 seg000:08019B3A STR R0, [R5,#4] ; 从外部FRAM读到的数据到R5+4 seg000:08019B3C LDR R2, [R7] ; 读0X2001AF54的数据到R2 seg000:08019B3E LDRD.W R0, R1, [R5] ; 读出刚才写入R5连续地址里面的两个32位数 seg000:08019B42 CMP R1, R3 ; 先比较高32位 seg000:08019B44 IT EQ seg000:08019B46 CMPEQ R0, R2 ; 高32位相等再比较低32位 seg000:08019B48 BEQ loc_8019B68 ; 相等跳过序列号显示 seg000:08019B48 ; 不相等显示序列号和输入密码页面 seg000:08019B4A MOVS R3, #9 seg000:08019B4C STR.W R3, [R6,#(dword_20003230 - 0x200030B0)] seg000:08019B50 STR.W R3, [R6,#(dword_200031F0 - 0x200030B0)] seg000:08019B54 BL sub_800E804 seg000:08019B58 BL sub_80198B0 ; 序列号显示 seg000:08019B5C BL sub_80096FC seg000:08019B60 MOVS R0, #0x14 seg000:08019B62 BL sub_8002CB0 seg000:08019B66 B loc_8019B10
看完了这里就知道了是用0X2001AF54和0X2001AF58里面的数据和外面RAM读回来的比较,一样跳过序列号显示和输入页面,简单点的做法是绕过比较,但是这样万一别的地方有读ID就不行了,于是有两种方法,一种是写算号器另一种是让他自己显示出密码。
接着往下看,看看序列号怎么计算的
可以看到0X201AFC8里面数据计算比较繁琐才显示的,写个算号器也可以,我还是选择直接让他显示出密码,把这个显示序列号的改成显示密码的
@ .thumb .syntax unified .section .text movw r6, # 0xaf54 movt r6, # 0x2001 ldrh r2, [r6] adds r6, r6, # 2 ldrh r3, [r6] adds r6, r6, # 2 ldrh r4, [r6] adds r6, r6, # 2 ldrh r5, [r6] movs r6, # 0 movs r7, # 0
先用汇编写个简单小程序,序列号计算后密码地址2001AF54和2001AF58里面的数据写到R2-R5,因为只显示16个4位而序列号是24个4位所以把R6和R7清零
编译这个小程序
然后用16进制编辑器打开编译好的BIN文件和作者提供固件HEX文件转成的BIN文件,把生成的复制过去就行了
改后
由于没有硬件没办法验证
第二种方法,直接把计算好的密码写入外部FRAM
可以看到显示和输入ID函数里面有写FRAM的函数
这个只把R7的地址从输入密码替换成要比较的密码
zip是用第一种方法改的
2.zip是第二种方法改的
FW_1_10a.hex是作者提供的固件
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
Nice
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
方法2有网友验证可以使用,方法1不行,他也没给我截图也没说能不能显示,我看了看显示顺序可能错了,R7 R6,R5, R4依次压栈,结果R7 R6和R5 R4搞反了,下面这个3.zip改过来了。
作者在0x20001AC8申请了4K的RAM,然后通过计算STM32唯一ID得到一个指针指向这片区域来生成密码,这片区域没有使用,不知道STM32的C语言申请一片区域后不使用里面是什么数据。 我C语言不熟悉,写了个算号器的程序,现在就缺知道这4K里面是什么,再就是要有个正确的密码做比对好知道顺序。 #include <stdio.h>
void main() {
unsigned int di_32, zhong_32, gao_32; //序列号
unsigned int wei8_0, wei8_1, wei8_2, wei8_3;
unsigned int wei8_4, wei8_5, wei8_6, wei8_7;
unsigned int wei8_8, wei8_9, wei8_a, wei8_b;
unsigned char mima[8];
unsigned int ID[1024];
unsigned int a, b;
di_32 = 0x38333439;
zhong_32 = 0x16513030;
gao_32 = 0x22004d00;
wei8_0 = (di_32 & 0xff00) >> 8;
wei8_1 = (di_32 & 0xff) << 8;
wei8_2 = (di_32 & 0xff000000) >> 8;
wei8_3 = (di_32 & 0xff0000) << 8;
wei8_4 = (zhong_32 & 0xff00) >> 8;
wei8_5 = (zhong_32 & 0xff) << 8;
wei8_6 = (zhong_32 & 0xff000000) >> 8;
wei8_7 = (zhong_32 & 0xff0000) << 8;
wei8_8 = (gao_32 & 0xff00) >> 8;
wei8_9 = (gao_32 & 0xff) << 8;
wei8_a = (gao_32 & 0xff000000) >> 8;
wei8_b = (gao_32 & 0xff0000) << 8;
ID[0] = wei8_0 | wei8_1 | wei8_2 | wei8_3;
ID[1] = wei8_4 | wei8_5 | wei8_6 | wei8_7;
ID[2] = wei8_8 | wei8_9 | wei8_a | wei8_b;
wei8_1 = wei8_1 >> 8;
wei8_2 = wei8_2 >> 16;
wei8_3 = wei8_3 >> 24;
wei8_5 = wei8_5 >> 8;
wei8_6 = wei8_6 >> 16;
wei8_7 = wei8_7 >> 24;
wei8_9 = wei8_9 >> 8;
wei8_a = wei8_a >> 16;
wei8_b = wei8_b >> 24;
di_32 = wei8_0 + wei8_1 + wei8_2 + wei8_3 + wei8_4 + wei8_5 + wei8_6 + wei8_7 + wei8_8 + wei8_9 + wei8_a + wei8_b;//每次读一个8位ID号累加
zhong_32 = di_32 & 0x3ff; //提取低10位
gao_32 = wei8_0 + wei8_b; //ID最低低8位+ID最高高8位
di_32 = gao_32 + zhong_32; //ID最高位8位+ID最低8位+累加结果提取的10位
a = zhong_32;
b = di_32;
for (int i = 0; i < 8; i = i + 1){
mima[i] = ID[di_32];
di_32 = (zhong_32 + di_32) & 0x3ff;
}
printf("0x%02X 0x%02X 0x%02X 0x%02X 0x%02X 0x%02X 0x%02X 0x%02X \n",mima[7],mima[6],mima[5],mima[4],mima[3],mima[3],mima[1],mima[0]);
}
最后于 2021-1-28 14:53
被yjmwxwx编辑
,原因: 固件显示搞反了,改过来重新上传
|
|
|
是啊,要是有硬件就容易多了,关键这个收音机好几百实在有点贵 |
|
|
方法1 R7R6和R5R4搞反了,导致显示中中间夹着0,改过来了。 .thumb .syntax unified .section .text movw r4, # 0xaf54 movt r4, # 0x2001 ldrh r2, [r4] adds r4, r4, # 2 ldrh r3, [r4] adds r4, r4, # 2 ldrh r7, [r4] adds r4, r4, # 2 ldrh r6, [r4] movs r4, # 0 movs r5, # 0 |
|
|
上面这个固件已经有网友反馈了,可能顺序不对,我让他输入8CABD076E4911F3F试试,由于再论坛上交流还没收到他的反馈。 那4K RAM知道里面是什么了,作者定义了一个数组,初始化的时候复制到内存了,只要把这个数组放到算号器里面就能用了。 下面是数组复制到内存的函数,可以看到从0X8051820复制了一个数组到0X20000000-0X20003F4C,当然算号器用的是0X20001AC8-20002AC8,只要把这个放到算号器里面就行了。
要复制到算号器的数组
|
|
|
复制过去了,没验证不知道对不对,复制的数组有没有问题,要是有人发个序列号验证下就好了,可能顺序不对。 我不会WINDOWS上编程序,所以只提供C程序,会的帮忙给大家写个吧,反正我是用不到这个东西。 #include <stdio.h>
void main() {
unsigned int di_32, zhong_32, gao_32; //序列号
unsigned int wei8_0, wei8_1, wei8_2, wei8_3;
unsigned int wei8_4, wei8_5, wei8_6, wei8_7;
unsigned int wei8_8, wei8_9, wei8_a, wei8_b;
unsigned char mima[8];
unsigned int ID[1024] = {
0x25, 0xe6, 0xbc, 0x70,
0xf1, 0x6d, 0x05, 0x4c,
0x3b, 0xc8, 0xfb, 0x4a,
0x3b, 0x15, 0x65, 0xcc,
0xf8, 0xca, 0xa8, 0x26,
0x8f, 0xa8, 0x5b, 0x2e,
0x9d, 0xbb, 0x19, 0xd4,
0x49, 0xf1, 0xad, 0xa1,
0x21, 0x69, 0xe9, 0xc2,
0x54, 0xfd, 0x2f, 0x15,
0x20, 0x44, 0x7d, 0x93,
0xd4, 0x29, 0xd8, 0x86,
0x03, 0x67, 0x05, 0x86,
0x38, 0xeb, 0x5e, 0xc5,
0x5b, 0xca, 0x69, 0xf7,
0xee, 0x21, 0x37, 0xa3,
0xe2, 0xef, 0x28, 0xd0,
0xeb, 0x67, 0x56, 0x00,
0xd5, 0xbc, 0x11, 0x5f,
0xcd, 0xfb, 0x09, 0x2c,
0x1e, 0xba, 0xd3, 0xa6,
0x23, 0x34, 0x73, 0x15,
0x01, 0xf7, 0xe5, 0xcd,
0xe2, 0x62, 0xdd, 0xbf,
0x44, 0xf9, 0x3f, 0xfc,
0x26, 0x58, 0xbc, 0x53,
0x25, 0xf9, 0xd6, 0x39,
0x58, 0xd4, 0x43, 0x34,
0x40, 0xc6, 0x0c, 0xa2,
0xc8, 0x57, 0x28, 0xdc,
0x06, 0xe3, 0x9e, 0x1f,
0x70, 0x8d, 0x8f, 0xf1,
0x09, 0xb6, 0x91, 0xae,
0xe4, 0x69, 0x8a, 0x33,
0xbf, 0x07, 0x29, 0xe4,
0x66, 0x44, 0xf5, 0x4a,
0x9d, 0xf8, 0xdc, 0x7d,
0x84, 0x98, 0x4f, 0x33,
0x0c, 0xae, 0xfe, 0xd0,
0x69, 0x66, 0x36, 0x37,
0x14, 0xe9, 0x65, 0x2d,
0x90, 0x12, 0x32, 0x94,
0x8e, 0xc3, 0x97, 0x8c,
0xdc, 0xea, 0x6f, 0x96,
0x40, 0xe8, 0xa8, 0xe4,
0x19, 0x07, 0xde, 0x80,
0xd7, 0xe2, 0x35, 0xd5,
0xe0, 0x49, 0x2f, 0x15,
0xa2, 0x32, 0x24, 0xdf,
0x36, 0x16, 0xea, 0x86,
0xb3, 0x98, 0x64, 0x69,
0x22, 0xc9, 0x79, 0x4c,
0x09, 0xdd, 0xc5, 0x16,
0xd3, 0xfd, 0xec, 0xe4,
0x46, 0xaa, 0x6e, 0xed,
0x8a, 0xdd, 0x3c, 0x31,
0xf1, 0x95, 0x68, 0x61,
0xa9, 0x54, 0x25, 0x70,
0x40, 0x0d, 0xea, 0x8f,
0xad, 0x0b, 0x0d, 0xf4,
0x39, 0x8f, 0x65, 0x52,
0x58, 0x06, 0x6f, 0x23,
0x0a, 0x59, 0xb7, 0x56,
0x48, 0x9e, 0xa0, 0xc4,
0x3f, 0xf4, 0x2e, 0x6e,
0xe4, 0x4c, 0x67, 0xc4,
0x78, 0x47, 0x70, 0x12,
0xda, 0x00, 0xc0, 0xbe,
0x29, 0xc7, 0x9f, 0x6e,
0x14, 0xcd, 0xce, 0x50,
0xe0, 0x97, 0xf8, 0x72,
0x5e, 0xae, 0x6c, 0x1a,
0x6a, 0xb7, 0xfe, 0x1c,
0x70, 0x73, 0xd2, 0x34,
0x27, 0x89, 0x77, 0x89,
0x3d, 0x8d, 0x38, 0x4a,
0x75, 0x69, 0x16, 0x60,
0xb6, 0xb9, 0x05, 0x84,
0xed, 0xdd, 0x97, 0x90,
0x69, 0x57, 0xec, 0x6b,
0x71, 0xe1, 0x42, 0x8a,
0xdd, 0x24, 0xde, 0xa8,
0x82, 0x7f, 0x1d, 0xc2,
0xdb, 0x2c, 0x37, 0x14,
0x2a, 0x75, 0x2a, 0x0a,
0x98, 0x5c, 0x41, 0x11,
0x0a, 0x48, 0x39, 0x74,
0xd0, 0x79, 0x5f, 0x4b,
0xb6, 0x5f, 0x33, 0xd0,
0x24, 0xe0, 0x01, 0xcc,
0x9b, 0x7a, 0x71, 0x4d,
0x3a, 0x16, 0xb7, 0x65,
0xe7, 0x7e, 0x30, 0x59,
0x9b, 0x4d, 0xbc, 0x8a,
0x95, 0xd0, 0x57, 0x75,
0xf9, 0x5f, 0x03, 0x87,
0x37, 0xfe, 0x35, 0x18,
0xc1, 0xeb, 0x69, 0x01,
0x1d, 0xe0, 0xf7, 0xc0,
0xbe, 0xd4, 0xcf, 0x6b,
0x7f, 0x4b, 0xa2, 0xaa,
0x37, 0x2d, 0x64, 0x76,
0xd5, 0x32, 0x88, 0xdc,
0x2e, 0x70, 0x57, 0xcb,
0x30, 0xc0, 0x56, 0x54,
0xb0, 0xbb, 0x2d, 0x40,
0x4e, 0x63, 0x7c, 0xac,
0x67, 0xef, 0x4c, 0x1d,
0x54, 0x00, 0x79, 0x2c,
0x51, 0xe9, 0x25, 0x2f,
0x54, 0xbf, 0xaf, 0x76,
0x02, 0x42, 0x7c, 0xb9,
0xec, 0x97, 0x03, 0x18,
0xd8, 0xae, 0x32, 0x7c,
0x3d, 0x30, 0xd2, 0xd7,
0x64, 0xe3, 0xd5, 0x52,
0xbb, 0x37, 0x21, 0xb3,
0x65, 0x59, 0x7e, 0xd6,
0xf4, 0x05, 0xfc, 0xc7,
0xf7, 0xc4, 0xbf, 0x58,
0x93, 0xe4, 0x14, 0xf0,
0x0b, 0xff, 0xca, 0xe1,
0xd4, 0x77, 0x6e, 0x85,
0x57, 0x3f, 0xa1, 0xdc,
0x6f, 0x6a, 0x21, 0xce,
0xa0, 0xd3, 0xc1, 0xe8,
0x84, 0x1f, 0xab, 0x41,
0xf8, 0x42, 0xdc, 0x80,
0x0c, 0xba, 0x50, 0x77,
0x07, 0x68, 0xbf, 0xd4,
0xd0, 0x0b, 0x0b, 0xfa,
0x1f, 0x76, 0xaf, 0xd2,
0x6e, 0x92, 0x95, 0x37,
0x61, 0xa9, 0x7b, 0xe5,
0x49, 0xb3, 0xe7, 0x5d,
0xab, 0x77, 0x3c, 0xcb,
0x1e, 0x68, 0x8c, 0xbf,
0x46, 0xe8, 0xb5, 0xde,
0x37, 0x05, 0xb6, 0x6a,
0x2f, 0xf6, 0xf8, 0xc5,
0x9f, 0xf2, 0xd7, 0xb0,
0xe3, 0x87, 0x07, 0xaa,
0xfb, 0x2a, 0x5a, 0xd9,
0xad, 0x03, 0xd7, 0xda,
0xcd, 0x66, 0x33, 0x22,
0x54, 0x3e, 0x94, 0x1e,
0xab, 0xf0, 0x58, 0xc9,
0xa2, 0x5b, 0xc5, 0x82,
0x0c, 0x69, 0x0f, 0x52,
0xc3, 0xfa, 0x21, 0x50,
0xe7, 0xa4, 0x42, 0xa5,
0xc3, 0x61, 0x99, 0xbc,
0x2c, 0xc4, 0x14, 0xc3,
0x16, 0xb9, 0xc4, 0xa5,
0x26, 0x4d, 0x06, 0x10,
0x9c, 0xc8, 0x0e, 0x8f,
0x19, 0x5c, 0x99, 0x3f,
0x3a, 0xab, 0xe8, 0x09,
0x41, 0xf0, 0x51, 0x76,
0xe1, 0xf1, 0x61, 0xbd,
0x8a, 0x0d, 0xce, 0x91,
0x34, 0x7a, 0x58, 0xc0,
0x7c, 0x3e, 0x7d, 0xbe,
0x73, 0x24, 0xb8, 0x74,
0x0c, 0x7b, 0x52, 0x76,
0x5a, 0xed, 0xbf, 0xab,
0x56, 0x93, 0x23, 0x11,
0xd0, 0xf3, 0x64, 0xac,
0x46, 0xa0, 0x1a, 0xab,
0x67, 0x99, 0x7b, 0xd5,
0xa4, 0xcc, 0x3f, 0xa5,
0xfb, 0xea, 0xab, 0xf2,
0x19, 0x94, 0x11, 0x9c,
0xdb, 0x18, 0xf6, 0x7f,
0xbc, 0x21, 0x22, 0x29,
0xff, 0x8d, 0xaa, 0xb8,
0x46, 0x3f, 0x9e, 0x2f,
0x39, 0x29, 0x34, 0x36,
0x49, 0xd3, 0x6c, 0xe6,
0xc3, 0x55, 0x11, 0xbd,
0x15, 0x17, 0x0a, 0x36,
0x4e, 0x9c, 0xb3, 0x5a,
0x20, 0x57, 0x6a, 0xf7,
0xf7, 0x92, 0x55, 0x79,
0x95, 0x0a, 0xf3, 0x2c,
0x2c, 0xaf, 0x9c, 0xab,
0x1d, 0x6d, 0xe1, 0xe1,
0x72, 0x63, 0xc8, 0x05,
0x8a, 0x18, 0x74, 0xa1,
0x05, 0x42, 0xef, 0x87,
0x9f, 0x33, 0x34, 0x3a,
0xad, 0x9b, 0xae, 0x59,
0x67, 0xf7, 0xc2, 0x1e,
0xbc, 0xdb, 0xf2, 0x50,
0x50, 0x42, 0xca, 0x84,
0x63, 0xfe, 0xbc, 0xdf,
0xbc, 0xde, 0xd8, 0xf0,
0x64, 0x9a, 0x4c, 0xdf,
0xf8, 0x4c, 0x69, 0xf9,
0xee, 0x9f, 0xb9, 0x54,
0xf9, 0xdd, 0xce, 0x96,
0xe0, 0x8b, 0xb6, 0xd1,
0xa8, 0x88, 0xc2, 0x51,
0x5d, 0x9a, 0x4d, 0x72,
0x5a, 0x67, 0xea, 0xd6,
0x7a, 0x5e, 0x56, 0xa5,
0xb9, 0xde, 0x17, 0xc0,
0x5b, 0x6a, 0x26, 0xba,
0x3b, 0xee, 0x02, 0xd5,
0x16, 0x94, 0x47, 0x0f,
0x5f, 0xf0, 0x30, 0x9a,
0x8b, 0x01, 0xda, 0xc7,
0x32, 0xfa, 0xb5, 0x63,
0xb0, 0xa4, 0x50, 0x5f,
0x23, 0x89, 0x17, 0x7c,
0x7d, 0xa0, 0xab, 0xe5,
0x19, 0x48, 0x3b, 0x94,
0x3b, 0xcd, 0x2d, 0x55,
0xe5, 0x49, 0x5f, 0x8f,
0xab, 0x66, 0x40, 0x99,
0x14, 0x15, 0xeb, 0xf3,
0x23, 0xda, 0x69, 0x41,
0xc2, 0xf2, 0xdd, 0x0e,
0xc2, 0xda, 0xfe, 0x24,
0x83, 0xd4, 0x83, 0x98,
0xa5, 0x9a, 0x12, 0xb0,
0x4b, 0x2a, 0xc4, 0xb4,
0x3f, 0xf4, 0x88, 0x66,
0xf4, 0xc5, 0x24, 0x43,
0x5f, 0x7d, 0x2b, 0x42,
0xa9, 0x3b, 0xe5, 0x81,
0x96, 0x4b, 0x70, 0x20,
0x35, 0x9d, 0x00, 0x05,
0x94, 0xcc, 0x12, 0x56,
0xf8, 0x44, 0xaf, 0xa3,
0xa1, 0x8d, 0x2d, 0xbf,
0xd6, 0x21, 0x33, 0xa7,
0x70, 0x0f, 0xaf, 0x80,
0xdc, 0x0f, 0xec, 0xaf,
0x2d, 0x6e, 0x18, 0x0b,
0xb4, 0xf9, 0x43, 0xb0,
0x90, 0xe3, 0x64, 0xe0,
0xf4, 0x69, 0xf7, 0x0d,
0x9f, 0xcb, 0x0d, 0x29,
0x53, 0x86, 0xcf, 0x8e,
0x5b, 0xd3, 0x24, 0x2b,
0x0d, 0xec, 0x4e, 0xc9,
0x90, 0x38, 0xbd, 0x0e,
0x9b, 0x29, 0x49, 0xb7,
0x99, 0x66, 0xea, 0xf7,
0x6c, 0x6b, 0xf2, 0xda,
0x1c, 0x36, 0xa8, 0x42,
0xe0, 0x1b, 0x80, 0x3d,
0x05, 0xfd, 0x19, 0x09,
0x88, 0xa2, 0x54, 0x36,
0x9f, 0x31, 0x7f, 0xb4,
};
unsigned int a, b;
di_32 = 0x38333439;
zhong_32 = 0x16513030;
gao_32 = 0x22004d00;
wei8_0 = (di_32 & 0xff00) >> 8;
wei8_1 = (di_32 & 0xff) << 8;
wei8_2 = (di_32 & 0xff000000) >> 8;
wei8_3 = (di_32 & 0xff0000) << 8;
wei8_4 = (zhong_32 & 0xff00) >> 8;
wei8_5 = (zhong_32 & 0xff) << 8;
wei8_6 = (zhong_32 & 0xff000000) >> 8;
wei8_7 = (zhong_32 & 0xff0000) << 8;
wei8_8 = (gao_32 & 0xff00) >> 8;
wei8_9 = (gao_32 & 0xff) << 8;
wei8_a = (gao_32 & 0xff000000) >> 8;
wei8_b = (gao_32 & 0xff0000) << 8;
ID[0] = wei8_0 | wei8_1 | wei8_2 | wei8_3;
ID[1] = wei8_4 | wei8_5 | wei8_6 | wei8_7;
ID[2] = wei8_8 | wei8_9 | wei8_a | wei8_b;
wei8_1 = wei8_1 >> 8;
wei8_2 = wei8_2 >> 16;
wei8_3 = wei8_3 >> 24;
wei8_5 = wei8_5 >> 8;
wei8_6 = wei8_6 >> 16;
wei8_7 = wei8_7 >> 24;
wei8_9 = wei8_9 >> 8;
wei8_a = wei8_a >> 16;
wei8_b = wei8_b >> 24;
di_32 = wei8_0 + wei8_1 + wei8_2 + wei8_3 + wei8_4 + wei8_5 + wei8_6 + wei8_7 + wei8_8 + wei8_9 + wei8_a + wei8_b;//每次读一个8位ID号累加
zhong_32 = di_32 & 0x3ff; //提取低10位
gao_32 = wei8_0 + wei8_b; //ID最低低8位+ID最高高8位
di_32 = gao_32 + zhong_32; //ID最高位8位+ID最低8位+累加结果提取的10位
a = zhong_32;
b = di_32;
for (int i = 0; i < 8; i = i + 1){
mima[i] = ID[di_32];
di_32 = (zhong_32 + di_32) & 0x3ff;
}
printf("0x%02X 0x%02X 0x%02X 0x%02X 0x%02X 0x%02X 0x%02X 0x%02X \n",mima[7],mima[6],mima[5],mima[4],mima[3],mima[3],mima[1],mima[0]);
}
最后于 2021-1-29 11:53
被yjmwxwx编辑
,原因:
|
|
|
|
|
|
群友提供的序列号和密匙,我帮忙发过来给楼主验证 |
|
|
感谢楼上,终于成功了。 低 di_32 = 0x25004500; 中 zhong_32 = 0x39331451; 高 gao_32 = 0x30383937; 原来书输入时候搞反了
|
|
|
|
|
|
|
|
|
方法1上面那些固件显示的顺序有问题,因为密码是16个8位而序列号显示的是6个16位,高低位显示反了,下面改过来了,不知道行不行,还没人验证。 这下改的东西就少了,直接把ID地址改成密码地址,多出来的两个清零。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
mb_ldfnrjij 发布的程序我也不知道怎么使用,作者没有说明 。 我16楼的程序输入0x1d, 0x00, 0x2b, 0x00, 0x14, 0x51, 0x30, 0x31, 0x35, 0x33, 0x32, 0x33 激活码是 77 F2 2F A5 75 B9 8F BC 有STLINK 、JLINK 、 串口线 其中之一可以直接烧写固件,把2.ZIP的固件下载到STM32,随便输入一组数字可以激活。 把4.ZIP固件下载到STM32,LCD显示激活码,最后8个数字0没用。 |
|
|
1D00-2D00-1451-3031-3533-3233 直接这样输入就行,序列号后面加回车。 |
|
|
|
