S65之ELF一卡多号－－菜鸟指导+高手对话

<div class=t_msgfont id=postmessage_4363957>曾经沉迷于S65，去年又陷于6688，今年对GSM网络作了些钻研。bingkx介绍了SGOLD平台一卡多号的最新进展，立即产生了浓厚兴趣，因为这是我很感兴趣的东东。经过一星期来摸索，得到了些体会，不敢独享，遂发此贴。
       ELF才接触，不敢妄言。但一卡多号还是比较熟悉，有些机油苦于菜鸟级教程缺少，不能享用；也有些心得体会，与高手探讨，请不吝指教。
一、S65之ELF一卡多号－－菜鸟指导
       因为第一次接触ELF，一头雾水。阿冰的教材很详细，但刷机还是不成功。经过几天探索，终于吼吼吼。以下就注意事项做个归纳，以免菜鸟们走弯路。
（1）一卡多号概念。分为物理和虚拟一卡多号。物理一卡多号，如金鱼卡、老鹰卡，是一种特殊SIM卡。虚拟卡又分为MP类和ELF类，刷入补丁，使用普通SIM卡。MP类使用5400块，ELF类使用5401、5402、5403块。就功能上，ELF类非常强大。
（2）ELF基础补丁的配套问题
ELF基础补丁有四个：API、CODEMAP、ELFLOADER、LIB。由于版本繁多，名称各异，再加上PACK集成，往往难以配套。如果仅仅是ELF，配套可能非必须。但一卡多号好像有这个要求，所以还不能追求最新版本的ELFLOADER、LIB。经过测试，wangqun2008提供的下载包非常好。
http://mobile.0110.cn/viewthread.php?tid=362812&extra=page%3D1
针对S65，本贴附件中提供该4个基础补丁下载，方便菜鸟们。
这4个补丁依次刷入机子，就可以用ELF了。
（3）刷一卡多号补丁前准备。
1.按阿冰教程制作5401、5402、5403模块，附件中提供下载。至于如何填ISMI、KI等，请看阿冰教材。
2.ELF类补丁都需要Zbin文件夹，附件里是wangqun2008提供，并经过本人清理过的。
3.用SIMOCO，将5401.txt-5403.txt文件拷入0:\MISC目录下，Zbin文件夹拷入0:\根目录下。0:\，即DATA目录，不需要OD打开隐藏目录就可以看得到。
    5401模板中第三行卡名为00 31 32 33...，这里有个技巧。30～39对应于0～9的ACSII码，所以，如果你用数字来表示卡名时，只要改动3后的数字就可以了。如果用英文卡名，ACSII码转换要麻烦一些。
（4）multisim.vkp、MultiSim.elf。刷入ELF基础补丁后，开机运行0:\Zbin\utilities\MultiSim.elf，机子根据5401-03块内容，自动在EEP中建立5401-03块。不需要像MP类中用Siemens_EEPROM_tool创建块。提示建立好5401-03块后关机，再刷入multisim.vkp，就OK了。
（5）Zbin问题。Daemons目录下如果有ExtD.elf，在刷完multisim.vkp开机后，会将中餐馆装修成西餐厅。如果为了迎奥运与世界接轨，使用E文菜单，可能也是很酷的，但一般机油会很苦的。
（6）进入0:\Zbin\utilities\文件夹，运行MultiSim.elf，有几种途径。1.九宫格－附加功能-设备管理，是MultiSim.elf入口。2.九宫格－附加功能-文件管理器－Zbin-utilities-MultiSim.elf，有点麻烦。3.如果你刷过打开隐藏文件补丁，九宫格－我的文件夹－长按1键进入隐藏文件-data(或0:)-Zbin-utilities-MultiSim.elf，还麻烦些。如你要看一下5401.txt-5403.txt文件在不在机子里，只能用上述2.或3.方法打开0:\MISC\。
（7）运行MultiSim.elf进行一卡多号管理菜单。Preferences-对5401.txt-5402.txt文件的操作，保存、更新、打开。再就是门号转换。当保存5401.txt-5402.txt时，在0:\MISC\里会产生.bak文件。

二、S65之ELF一卡多号－－高手对话
关于GSM网络方面的一些内容，在6688论坛中介绍过。
[一]GSM网络概念和参数值
Ki           鉴权密钥            16bytes
SRES     鉴权结果              4bytes
Kc       通话加密密钥          8bytes
RAND     随机数               16bytes
IMSI    国际移动用户识别  16bytes
TMSI  用户的临时识别号     4bytes
MSISDN   用户号码即平常说的手机号码
Fn       当前帧号(相当于RAND)22bit
MS       移动台，即你的手机
LOCI：   位置信息。
BCCH：   广播控制信道。
[二]GSM网络加密运算
A3 IMSI认证算法     128位 KI+RAND运算SRES
A8 用户密匙生成算法 128位 KI+RAND运算Kc
A5 加密密匙生成算法 128位 Kc+Fn加密通讯数据运算密钥流
[三]参与鉴权的主要网络单元:
访问地注册中心    VLR 漫游时
移动交换中心      MSC 漫游时
归属地注册中心    HLR
鉴权中心          AuC
[四]GSM网络登录步骤
　　1. 手机开机后会从SIM卡中读取IMSI(15个数字)和TMSI(4字节)；
　　2. 手机登录网络时，将IMSI或TMSI发给网络；
　　3. 网络判断到该IMSI或TMSI有效，要生成一个128bit的RAND，然后发给手机；
　　4. 手机收到RAND后，将RAND发给SIM卡；
　　5. SIM以里面的KI为密钥对RAND进行A3A8运算，生成(SRES+Kc)；
　　6. 手机读取(SRES+Kc)(32bit+64bit)，并将SRES发给网络；
    7. 网络自己进行一次A3A8运算，如果结果与手机返回的SRES相同，则认为该用户合法。
    鉴权成功显示当前运营商名称。为了防止用户在登网之后拔掉SIM卡，手机在一定时间间隔内会发送一条查询指令，察看目前SIM卡的状态，一旦发现SIM卡没有回送正确的应答，那么就切断和网络之间的联系，提示插入SIM卡。
[五]几个重要参数说明
    TMSI为保护IMSI而使用，在同一VLR区域内使用。用户开机时使用IMSI，在鉴权后使用TMSI。TMSI会因地址变更而更新，也会定期更新。TMSI中一般包含LAC位置信息。
    ICCID是SIM卡卡号（不同于MSISDN），印在每个SIM卡背后。标准ICCID由20位数字组成（五个一排，被排成四排），可以区别移动和联通、MSISDN的前三位、号码所在地区等。还有一些省、市发行的SIM卡只有14位数字或12位数字。这主要是省略了前六位中国移动在国际上的受话代码和网号所致。
    LOCI是位置信息，存储临时移动用户识别符、位置区信息等内容，即TMSI的内容。其中包含LAI，是最近一次位置登记时的手机所在位置区识别号，就是记录了最近一次联系的基站信息。当MS（即移动台，你的手机）再次与网络联系时，网络需要读取这个信息，以便确定MS的位置是否变化，特别是运动当中需作修正，否则通话会受影响。
    BCCH是广播控制信道。由于BCCH的存储，在选择小区时，MS可以缩小对BCCH载波的搜索范围,尽快连接上。所以，在第一次开机时需要很长时间的网络搜索，而同一位置再次开机时，几乎没有做搜索。
    LOCI、BCCH动态保存在（ELF补丁）EEP的5402块中。
[六]一个实验
    准备好一个实体一卡多号SIMMAX卡（我用的是金鱼卡12in1），用SimEasy做一个特殊的DAT文件写入。
    特殊之处：IMSI是联通卡的（是否有效没关系），而ICCID、Ki、SMSP（信息中心）是一个有效移动卡139解密得到的，两者拼合。ICCID、SMSP可以直接读出，不需解密。
    拼合过程如下：先打开移动卡139的DAT，将IMSI改为一个联通卡130的，保存。再用SimScanner写入卡中，卡中还要有移动卡139的号。
    将SIMMAX卡放入手机中（任何GSM手机均可），选139号，完成整个鉴权过程，出现中国移动字样。此时进入选号，选中130号，自动重启，130号能正常使用，打个电话试试，号码是139号。不能接电话，如要接电话进行如下操作：打开来电等待，打10086，就可以在通话中接电话了。一旦139号在其他手机中进行主叫，立即会失效，出现卡片被拒绝或无网络可使用。
    如先选中130号，将出现手机无法使用的信息，不同于卡片被拒绝的信息，无法使用。
    以上过程原理是这样的：先使用139号，获得TMSI和Kc，存于SIMMAX卡。重启选择130号后，手机根据ICCID自动选网进入移动网而不进行清零覆盖。在很短时间内，TMSI和Kc仍然有效，所以被移动网认可为139号。主叫时直接使用TMSI和Kc所以有效，被叫时却是无法连接；但在通话中被叫，不做身份认证，直接连接。由于IMSI和ICCID不匹配，出现手机无法使用的提示。当要求用IMSI进行鉴权时就会露馅，被移动网拒绝。
    ICCID的作用：ICCID就是SIM卡的卡号，被手机用作不同SIM卡的识别。在用SIMMAX写入卡后，只要是同一个ICCID就会认作同一个SIM，你在写卡时会体会到。本技术就是利用了这点，相同ICCID就是同一个卡，手机就不进行TMSI的覆盖。ICCID对手机，就象IMSI对网络，作为唯一的身份识别。
    手机换号短暂重启，相当于网络暂时中断，这是移动网络所允许的。相当于基站覆盖过渡或暂时进入屏蔽区，此时只需要TMSI经Kc加密的认证，而不要IMSI。
[七]ELF一卡多号使用体会
1.一天中第一次使用139号会出现长时间的网络搜索，这就是鉴权过程。当转到另一个号135时，139号打不进来。当短时间内再转到139号时，网络几乎不作搜索。这就是补丁保存了LOCI、BCCH、Kc的好处。这是ELF补丁的一大突破。
2.将5402保存到文件后，在0:\MISC\里会产生5402.bak文件。在Preferences菜单中打开5402.txt，就可以看到最新的LOCI、BCCH、Kc数据。
    但如果你使用135号，然后从文件更新139的5402.txt（进行编辑，将139号复制到135号对应处），并不能变成139号。因此，并没有达到上述实验的效果。
    当物理SIM卡在不同运营商间转换时，不能自动搜索到网络。这一点与6688一卡多号相同。
    5401中IMSI和Ki必须对应，也达不到SIMMAX实验效果。
    上述三点，个人认为是没有使用ICCID引起的。其源头还是康大最初设计时，将ICCID跳过了的原因，造成后续开发都抛开了ICCID。
3.用Siemens_EEPROM_tool可以读出手机中的5401～5403块。正常关机时，5401.eep～5403.eep是相同的，都是13H个门号（即19个）。而拔电池读取时，三个是不相同的，内容与正常关机时也不相同。
4.安全问题。手机里保存有5401.TXT，显然是很不安全的。实际上，当MultiSim.elf将5401～5403导入后就可以直接删除了，不会影响正常使用。但是，仍然可以在Preferences菜单中进行保存，从而又可以看到5401.TXT了，并且当场可以用短信或彩信发送出去。所以，应该屏蔽multisim.vkp、MultiSim.elf中保存5401的功能才安全，这个修改应该是很简单的。当然，这是防小蟊贼，大蟊贼是防不住的。除非像6688中将IMSI、Ki进行加密。
5.这个补丁的最大功能应该在临时复制SIM卡上，现已实效。见：http://mobile.0110.cn/viewthread.php?tid=374660&extra=page%3D1
6.希望大家继续共同探索，本人认为这是个有特异功能的补丁。</div>