В настоящее время большинство домофонов не будут работать с копией записанной на ZERO, это особенно актуально для копий, которые делаются через функцию "Смкей онлайн".
Их можно применять для таких домофонов, где работа идет только по UID (например, если ключ-оригинал не имеет имеет закрытых секторов, в основном это домофоны Дом.Ру, Ростелеком, Спутник).

Спустя пару лет появились заготовки MF OTP. Они записывались однократно, это позволило обходить фильтры, но спустя некоторое время их тоже научились фильтровать.
Через год-другой на смену им пришла заготовка MF OTP 2.0, но чуть позже и её стали фильтровать.
После них появилась заготовка MF-3. Это доступная по цене и популярная на сегодня заготовка, но в настоящий момент она тоже может фильтроваться домофоном. На смену ей появилась заготовка MF3.2
Самые последние варианты заготовок, которые не могут фильтровать, это iMF (или iMF+) и MF-4.

Но на iMF, не выходя из мастерской, можно писать далеко не всё (в ряде случаев требуется выезд на адрес с прибором СМкей), а MF-4 пока ещё достаточно дороги.
 

В дубликаторах есть функция проверки заготовки, вызывается он нажатием клавиши вверх после включения прибора. Китайцы могут привозить ключи с маркировкой MF3, а фактически чип там будет ZERO или ещё какой-то другой.

Если копия записанная на MF3 не заработала, первым делом стоит убедиться, что это действительно MF3. Если проверка показывает "Хорошая" и все сделано верно, но копия не работает, то остается использовать только более новые заготовки - iMF, MF3.2, MF-4

Если  дамп (данные с метки оригинала) получены через функцию Smkey online за 20 токенов, а при записи на заготовку все записалось успешно (0 и 14 сектора записаны), но при этом копия не работает, значит дело точно в заготовке.

Если упорно ничего не получается, то обновите через другой ПК.


При обновлении через Bluetooth: Отключите провод. Зажмите стрелку вверх и потом центральную кнопку. Через пару секунд появится надпись "Обновление". Отпустите кнопки, запустите приложение и обновите.
Подключать провод питания, если требуется, можно только после того, как началась прошивка.

Нажимаем Опции/Тест Dallas.

Если ключ пишет ОD - "да", то значит ключ не китайский TM1990, а именно оригинальный DS1990. Это уже знак, что делать лучше на что-то специальное для Визита, на данный момент это ik23-vi.

А если пишет OD нет, делать можно на что угодно, например, на RW1990.

Остальные параметры которые можно проверить, это параметры из документации на чип. Например, tPDL это время импульса, который выдает ключ, показывая, что он на шине. Если у вас копии работают через одну на одном и том же домофоне (или вообще не работают), то попробуйте подобрать заготовки с близким к оригиналу значением. Либо посмотреть в чём отличие у рабочей и нерабочей копии и поискать заготовки из кучи с теми же параметрами, что у той, которая работает.

В текущем году, так же как и пару лет назад, китайцы массово везут очень плохие RW1990, у которых этот импульс около 80-90 мкс. Некоторые домофоны просто не видят такой ключ.
Нормальные ключи обычно имеют длительность около 110-160 мкс.

Так что, при покупке заготовок по дешевке, есть смысл проверить, что это партия не из отбраковки, проверив этот параметр.
По документации допустим tPDL 60-240, но в реальности программисты некоторых домофонов установили свои, более строгие рамки.

В коде Dallas последний байт определяет тип ключа. Есть разные ключи Dallas. У DS1990/ТМ1990 он всегда 01. Если вам попался ключ с другим значением, значит это уже совсем другой ключ, в котором могут быть свои функции (доп. память, часы, шифрование, термометр и т.д.), поэтому копирование на RW1990 даст лишь копию ID ключа, а не всех функций оригинала.

Например, в DS1992, DS1993, DS1995 кроме ID есть дополнительная память, и делать их нужно на специальные заготовки, такие как ik1992-rw и т.д.

Коллеги!

Очень попрошу обсуждение приводимых в ветку FAQ материалов вести не прямо тут, а в тематике других веток.

Почему? Чтобы в этой ветке были собраны в основном сами материалы.

Ибо обсуждений часто бывает много, а материалов мало.

И еще: лучше написать даже один маленький материал, либо дополнить и уточнить, чем соообщать, что "горизонт завален".

Сделаем совместно наш форум лучшим источником информации!

Основные материалы взяты отсюда:

https://github.com/mwalker33/proxmark-rrg-info/blob/master/T5577_Guide.md

Сразу оговорюсь: все эти материалы – не мои. Я только сделал попытку упрощенно рассказать о первых шагах в конкретно этой теме.

Итак, есть Проксмарк, прошитый какой-то версией (я использую прошивку от Айсмана). Есть метка (карта) и мы предполагаем, что чип этой метки – Т5577. Как с ней работать?

Открываем клиентскую часть с командной строкой. Графический интерфейс в природе существует, но его в рамках этого материала рассматривать не будем. Мое личное мнение – если хотите работать с Проксмарком по-серьезному, работайте с командной строкой.

Начинаем работу с lf search.

Этим самым мы просто пытаемся понять, что это за карта.

Если эта команда среди прочего сообщает:

[+] Chipset detection: T55xx

[?] Hint: try `lf t55xx` commands?

, то этот материал для вас.

Чип Т5577 – специальный чип, выпущенный фирмой Атмел для эмуляции. Чтобы посмотреть, что может эмулировать чип 5577, наберите команду

[usb] pm3 --> lf t55 clonehelp

For cloning specific techs on T55xx tags, see commands available in corresponding LF sub-menus, e.g.:

Тут будет длинный список….

И вот как раз именно от того, что это чип-хамелеон, с настраиваемым интерфейсом общения, необходимо для начала работы с ним каким-либо образом ввести в Проксмарк параметры конфигурации для конкретного экземпляра метки, который вы препарируете. На другой метке могут быть другие настройки и Проксмарк не сможет без перенастройки с ней работать.

Как прочитать параметры интерфейса?

Можно задать эти параметры вручную с помощью команды

lf t55 config

Тут нужно достаточно много знать, о чем речь и где эту информацию брать. Но это для весьма и весьма продвинутых пользователей.

Либо попытаться прочитать их с карты автоматически. Но только попытаться. С помощью команды

lf t55 detect

/* Не забывайте про наличие встроенного хэлпа! Для этого добавляем опцию –h и читаем про другие опции и т.д.) */

Итак, мы запустили команду lf t55 detect

И получили что-то типа. Параметры могут быть и другими!

[usb] pm3 --> lf t55 detect

[=]  Chip type......... T55x7

[=]  Modulation........ ASK

[=]  Bit rate.......... 5 - RF/64

[=]  Inverted.......... No

[=]  Offset............ 33

[=]  Seq. terminator... Yes

[=]  Block0............ 00148040 (auto detect)

[=]  Downlink mode..... default/fixed bit length

[=]  Password set...... No

Это самый простой случай. И так будет не всегда. В смысле, команда lf t55 detect не всегда сможет прочитать параметры обмена конкретной карты. Почему? Из-за самих же настроек карты, в основном.

Итак, если команда lf t55 detect вывела параметры обмена, можно переходить к непосредственной работе с картой. Записать что-то на нее, прочитать, сохранить дамп...

/* Мы не будем останавливаться на деталировке того, что вывела команда (Modulation, Bit rate...). Это все есть в мануале по чипу 5577 */

А вот что делать, если команда выводит что-то типа:

[usb] pm3 --> lf t55xx detect
[!]  Could not detect modulation automatically. Try setting it manually with 'lf t55xx config'

В этом случае можно предположить, что карта защищена паролем. Да, у Т5577 есть такая функция.

Тут уже нужно пояснить подробнее. Команда detect не вычисляет параметры. Она просто их читает из совершенно определенного места. Но для самого-самого начала анализирует первичный ответ метки (передачу идентификатора) и определяет тип модуляции, битрейт и т.д.).

Но если пароль активирован, то команда чтения без указания пароля ничего не даст, а для чтения с паролем нет самого пароля.

Для активации защиты паролем всего-то надо записать пароль в блок 7 страницы 0 и установить в 1 специальный бит в конфигурационном слове (блок 0, страницы 0).

Пароль закрывает доступ к внутреннему содержимому карты (2 страницы блоков 32-х битной длины).

Но надо отметить, что при помещении карты в ЭМ-поле считывателя, будучи сконфигурированной определенным образом, карты будет выдавать свой ID-код для процесса идентификации и пароль на это не влияет.

/* Уточнение: Часть информации из запароленной метки все-таки получить можно. Более подробно об этом можно почитать в статье

https://domofon-master2009.narod.ru/publ/malenkoe_ehsse_o_zagotovke_t5557_i_filtrakh_ot_nejo/1-1-0-11

Автор статьи - участник форума petr5555

*/

Пароль имеет длину 32 бита.

Много это или мало? По моему мнению, это практически непреодолимо для простого перебора.

Какие средства есть у Проксмарка для решения этой проблемы? Их немного.

Вызываем помощь по разделу lf t55

и смотрим раздел recovery

-----------      --------------------- recovery ---------------------

bruteforce       Simple bruteforce attack to find password

chk              Check passwords

protect          Password protect tag

recoverpw        Try to recover from bad password write from a cloner

sniff            Attempt to recover T55xx commands from sample buffer

special          Show block changes with 64 different offsets

wipe             Wipe a T55xx tag and set defaults (will destroy any data on tag)

Первой командой стоит брутфорс!  Немного развлечемся и посмотрим, может ли брутфорс решить проблему нахождения пароля.

При вводе команды с опцией получения помощи (-h) получаем сведения, как ей пользоваться.

Интереса ради введем команду для перебора с небольшим диапазоном.

[usb] pm3 --> lf t55 bruteforce -s 11000000 -e 11000010

[=] Press <Enter> to exit

[=] Search password range [11000000 -> 11000010]

.[=] Trying password 11000000

.[=] Trying password 11000001

.[=] Trying password 11000002

.[=] Trying password 11000003

.[=] Trying password 11000004

.[=] Trying password 11000005

.[=] Trying password 11000006

.[=] Trying password 11000007

.[=] Trying password 11000008

.[=] Trying password 11000009

.[=] Trying password 1100000A

.[=] Trying password 1100000B

.[=] Trying password 1100000C

.[=] Trying password 1100000D

.[=] Trying password 1100000E

.[=] Trying password 1100000F

.[=] Trying password 11000010

[!] Bruteforce failed, last tried: [ 11000010 ]

[+] time in bruteforce 6 seconds

Делаем вывод: это долго! И нужен он для того, чтобы просто «прочесать» некий небольшой диапазон.

Ключевое слово: небольшой. И вменяемый по времени.

Идем дальше.

Используем команду Chk  «проверить (перебрать значения) по словарю». По сути тот же самый брутфорс. Но перебираемые значения берутся не методом инкрементирования предыдущего значения, а последовательно проверяется накопленная база паролей.

В самом деле! Как обычно возникает ситуация, что метка закрыта паролем? Да элементарно! Ее закрыл обычный китайский дешевенький копир. Записал в метку требуемое значение идентификатора, и закрыл паролем. Но добрые люди накопили базу таких паролей и если пользователь не требует проверять его личную базу, по умолчанию используется актуальная для данной прошивки база.

Итак, пробуем пользовать команду поиска по словарю.

[usb] pm3 --> lf t55 chk

[=] Press <Enter> to exit

[+] Loaded 123 keys from dictionary file `C:\PM3\client\dictionaries/t55xx_default_pwds.dic`

[=] Press <Enter> to exit

[=] testing 00000000

[=] testing 51243648

[=] testing 000D8787

[=] testing 19920427

[=] testing 50524F58

[=] testing F9DCEBA0

[=] testing 65857569

и так далее….

Если пароль найдется – его надо записать, а потом, при необходимости, снять (деактивировать). Для деактивации не нужно стирать 32 бита пароля. Достаточно всего-навсего установить ответственный за это бит в конфигурационном слове (блок 0, страницы 0) в 0.

Но справедливости ради следует сказать, что эта команда – не панацея. Что делать, если команда перебора не дала результата?

Если доступен аппарат, который установил это пароль, то можно попробовать СНИФФИНГ. Но это совсем другая история.

Если пароль так и остался неизвестен и нет понимания, откуда его взять – метка бесполезна.

Предположим, пароль известен. Что делать дальше?

Если есть пароль – нужно вернуться на стадию чтения параметров интерфейса этой самой конкретной карты.

С помощью ранее упомянутой команды lf t55 detect

Только уже с паролем.

Теперь синтаксис команды немного усложнится и будет выглядеть так:

lf t55 detect -p PPPPPPPP   (вместо PPPPPPPP используем действующий для этой карты пароль.)

Например, это будет 12345678

lf t55 detect -p 12345678  

Если мы все ввели правильно, команда выведет считанные из конфигурационного слова значения интерфейса. Если что-то введено некорректно, команда ответит о невозможности считывания.

[usb] pm3 --> lf t55xx detect -p 12345678

[=]  Chip type......... T55x7

[=]  Modulation........ ASK

[=]  Bit rate.......... 2 - RF/32

[=]  Inverted.......... No

[=]  Offset............ 33

[=]  Seq. terminator... Yes

[=]  Block0............ 00088050 (auto detect)

[=]  Downlink mode..... default/fixed bit length

[=]  Password set...... Yes

[=]  Password.......... 12345678

Обратите внимание на две последние строчки: подтверждается, что пароль активирован и его значение.

Вот теперь, после считывания параметров интерфейса обмена, мы готовы читать метку и писать метку.

Вот только есть небольшая особенность. Пока пароль не будет деактивирован, его придется каждый раз указывать в опциях команд чтения/записи.

К примеру, попробуем посмотреть дамп:

[usb] pm3 --> lf t55xx dump

Несмотря на то, что мы прочитали параметры интерфейса, без пароля дамп не читается. Точнее что-то читается, но это непонятно что. Проксмарк знает, как общаться, делает запрос, но пароль не пускает к данным.

Теперь введем команду просмотра дампа с паролем:

[usb] pm3 --> lf t55 dump -p 11223344 --ns -o

[=] ------------------------- T55xx tag memory -----------------------------

[+] Page 0

[+] blk | hex data | binary                           | ascii

[+] ----+----------+----------------------------------+-------

[=] Safety check overridden - proceeding despite risk

[+]  00 | 00148050 | 00000000000101001000000001010000 | ...P

…………………………………..

[+]  07 | 11223344 | 00010001001000100011001101000100 | ."3D

[+] Page 1

[+] blk | hex data | binary                           | ascii

[+] ----+----------+----------------------------------+-------

[+]  00 | 00148050 | 00000000000101001000000001010000 | ...P

…

[+]  03 | 00A00003 | 00000000101000000000000000000011 | ....

[=] Called with no save option

Отлично. Дамп есть. Две страницы. В нулевой 8 блоков, в следующей (№1) 4 блока. Я просто их всех не показываю.

Теперь посмотрим на команду и на дамп.

Обратите внимание: опций немного больше.

--ns для того, чтобы не сохранять дамп в виде отдельного файла. Если опцию не указать, файл с дампом будет создан.

-o для того, чтобы подавить предупреждение о возможной порче карты, если на ней нет пароля, а вы обращаетесь с паролем. 

В блоке 0 страницы 0 пятая справа единичка выделена красным. Это как раз тот бит, который отвечает за активацию пароля.

Как изменить этот бит и тем самым деактивировать пароль? Командами чтения/записи.

Команда чтения: read

[usb] pm3 --> lf t55 read -h

Read T55xx block data.  This commands defaults to page 0.

           * * * WARNING * * *

Use of read with password on a tag not configured

for a password can damage the tag

           * * * * * * * * * *

usage:

    lf t55xx read [-ho] -b <0-7> [-p <hex>] [--pg1] [--r0] [--r1] [--r2] [--r3]

options:

    -h, --help                     This help

    -b, --blk <0-7>                block number to read

    -p, --pwd <hex>                password (4 hex bytes)

    -o, --override                 override safety check

    --pg1                          read page 1

    --r0                           downlink - fixed bit length (detected def)

    --r1                           downlink - long leading reference

    --r2                           downlink - leading zero

    --r3                           downlink - 1 of 4 coding reference

Давайте прочитаем нулевой блок, в котором хранится конфигурационное слово.

Сначала прочитаем параметры интерфейса (если они были прочитаны в пределах одной сессии, то можно их не перечитывать)

Внимание: если пароля нет, то ЧИТАТЬ С ПАРОЛЕМ не нужно. Метку можно убить!

[usb] pm3 --> lf t55 detect -p 11223344

Потом читаем уже непосредственно блок 0 с паролем.

[usb] pm3 --> lf t55 read -b 0 -p 11223344 -o

[+] Page 0

[+] blk | hex data | binary                           | ascii

[+] ----+----------+----------------------------------+-------

[=] Safety check overridden - proceeding despite risk

[+]  00 | 00148050 | 00000000000101001000000001010000 | ...P

Обратим внимание на ту тетраду, где содержится бит активации пароля. Я ее выделил цветом.

Если мы обнулим искомый бит, тетрада будет: 0100 binary =  4 decimal

Тогда конфигурационное слово с деактивированным битом защиты паролем будет 00148040

Внимание: конфигурационное слово может быть и другое! Аккуратно изменяйте только соответствующую тетраду!

Команда записи write :

[usb] pm3 --> lf t55 write -h

Write T55xx block data

usage:

    lf t55xx write [-ht] -b <0-7> [-d <hex>] [-p <hex>] [--pg1] [--verify] [--r0] [--r1] [--r2] [--r3]

options:

    -h, --help                     This help

    -b, --blk <0-7>                block number to write

    -d, --data <hex>               data to write (4 hex bytes)

    -p, --pwd <hex>                password (4 hex bytes)

    -t, --tm                       test mode write ( danger )

    --pg1                          write page 1

    --verify                       try validate data afterward

    --r0                           downlink - fixed bit length (detected def)

    --r1                           downlink - long leading reference

    --r2                           downlink - leading zero

    --r3                           downlink - 1 of 4 coding reference

Давайте перепишем нулевой блок и деактивируем пароль.

[usb] pm3 --> lf t55 write -b 0 -d 00148040 -p 11223344

[=] Writing page 0  block: 00  data: 0x00148040 pwd: 0x11223344

Сообщений об ошибке нет, надеемся, что все прошло штатно.

Проверяем результат командой чтения, но уже без пароля.

[usb] pm3 --> lf t55 read -b 0

[+] Page 0

[+] blk | hex data | binary                           | ascii

[+] ----+----------+----------------------------------+-------

[+]  00 | 00148040 | 00000000000101001000000001000000 | ...@

Да, слово содержимое нулевого блока перезаписалось.

Попробуем еще раз использовать команду detect, но уже без пароля

[usb] pm3 --> lf t55 detect

[=]  Chip type......... T55x7

[=]  Modulation........ ASK

[=]  Bit rate.......... 5 - RF/64

[=]  Inverted.......... No

[=]  Offset............ 33

[=]  Seq. terminator... Yes

[=]  Block0............ 00148040 (auto detect)

[=]  Downlink mode..... default/fixed bit length

[=]  Password set...... No

Работает! Пароля не требует!

Данные интерфейса считывает!

Дамп делает без пароля.

Читает отдельные блоки без пароля.

Теперь на Проксмарке можно использовать эту карту для клонирования.

Каждый сектор обладает уникальными условиями доступа к нему – набор паролей (криптоключей доступа) и параметров доступа. Эти криптоключи и параметры доступа хранятся в последнем блоке внутри каждого сектора.

Не зная криптоключей, нельзя прочитать данные из сектора или записать новые.
В программе ikeybase или ikey express для удобства просмотра этот блок условно поделен на три части - Ключ доступа A, условия доступа, Ключ доступа B. Этот особый блок именуется "трейлером сектора".
Писать в трейлер нужно с четким пониманием что делаешь, в противном случае сектор полностью блокируется и восстановить доступ к нему невозможно. Тремя байтами условий доступа определяется по какому криптоключу будет возможен доступ для чтения/записи и для какого блока (внутри данного сектора).

Таким образом, метка поделена на множество маленьких независимых секторов, доступ к которым без знания криптоключей невозможен.
Блок с адресом 0 (блок производителя) имеет специальную функцию – в нем хранится UID (первые 4 или 7 байт, они читаются всегда, даже без знания криптоключей) и информация о производителе чипа. Переписать этот блок в оригинальных метках Classic невозможно, он заблокирован на заводе. Этим и отличается "Заготовка" от оригинальной метки.

Если сделанные копии не работают или работают только некоторые заготовки, то это означает, что установленные параметры следует подкорректировать.

Заготовка RW15  позволяет корректировать:
- скорость выдачи кода;

- ток потребления.
 

Настройки записываются в память дубликатора и используются в дальнейшем при записи заготовок.
Желаемые параметры в дубликаторах TMD-5, TMD-5R, TMD-3R можно настраивать через программу iKeyBase, в первой иконке функции есть пункт "Настройки устройства".

В дубликаторах TMD-5S настроить параметры можно в меню самого прибора, Меню, Установки, Ключей, Настройка RW15.

Обычно домофоны хорошо работают с заготовками, в которых установлена скорость выдачи кода "Медленно", а нагрузочный резистор "Включён".
Проверьте настройки, которые имеет ваш прибор и подкорректируйте их при необходимости.
Если с данными параметрами ключи работают плохо, то измените значение скорости и попробуйте записать заготовку заново.
После изменения параметров рекомендуется сначала переписывать заготовку любым другим кодом (отличным от того, что в ней сейчас), затем снова записать тот код, который требуется. Это рекомендуется потому, что прибор при записи читает текущий код ключа и поняв, что он совпадает, дубликатор выдаст сообщение "Записано". Но фактически никакой записи не произойдет и новые настройки параметров тоже не будут записаны.

Какие настройки параметров будут отлично работать в вашем городе, с вашими домофонами, сказать заранее нельзя. Их нужно подобрать экспериментально, хотя-бы один раз. 
Чтобы не ходить на адрес по несколько раз, можно записать несколько заготовок одним и тем же кодом, но с разными параметрами и уже выяснив, какая из них работает, использовать те же настройки, с которыми она была записана.
Учитывайте, что считать эти настройки из заготовки нельзя, поэтому, чтобы не перепутать, лучше сразу  пометить на ключах, какой ключ с какими параметрами был записан и только потом идти проверять.

Чтобы быстро понять не она ли перед вами, можно ориентироваться, на внешний вид оригинала.

Их так же можно распознать, если сделать чтение UID - тип ключа будет указан как SmartMX+Classic 1k

Для всех остальных случаев достаточно заготовки iMF (без плюса).

iMF и дешевле и работают даже на более старых версиях прошивок считывателей (считыватель - то, что установлено в домофоне для чтения метки), в то время как iMF+ (как и IL-30NFC), могут работать только со считывателями, имеющими относительно новую прошивку.

Если вы не знаете каким дампом она записана: Смкей онлайн может найти пароль, но делать это нужно до того, как пытаться записать дампами из базы, перебирая их наугад. После первой же записи часть страниц, в том числе UID, будут записаны новыми значениями и функция уже не сможет вычислить старый пароль.

При работе через ikey express все дампы сохраняются в закладках. Попробуйте отправлять на запись дампы от туда. Если найдется тот, которым метка будет записываться полностью (41 стр.), то уже действуем как в начале инструкции - жмем назад, считываем заведомо чистую заготовку и подносим стираемую.

Заготовки UL-5 не стереть. UID в них пишется однократно. Проверять чистые они или нет можно чтением, смотреть на уид. Если первые байты АА 55 .. - значит чистая.

Не забывайте нажать кнопку назад перед проверкой следующей метки.