Bonjour,

Je suis a la recherche de DUMP pour un 3217G sur dash VDO audi

Ref des compteurs :


8P0 920 900 P
8P0 920 901 J
8P0 920 931 E
8P0 920 931 T


Avec ou sans 24C32

Je cherche a comprendre l'ago pour la partie crytpage de l'eeprom

J'ai déjà identifier l'emplacement des key dans la flash mais je pense qu'il existe aussi un "vecteur" pour l'algo j'ai donc besoin de DUMP pour faire des comparaisons

Si vous avez d'autre ref je prends aussi

Merci de votre aide.

Bonjour,

avec plusieurs fichier flash, j'ai identifier l'emplacement des clé,

La clé de chiffrement est de 48 Bits :
ex :

4A 58 5D 2F 30 B3
3F F7 D7 7D 7F C4


les différent secteur de l'eeprom qui sont chiffrées ont des tailles différentes
ex :

6744B2528045A64BCCDA7A5C --> 12 octet
6744B2528045A64BCCDAE1D74508C72B1E97A2 --> 19 octet
6744B2528045A64BCCDAE1D74508C72B1E971237 --> 20 octet


ici les données d'origines sont 0000000.. et la clé est aussi 00 00 00 00 00 00.

Connaissez vous un algorithme qui utilise une clé de 48 bits avec des longueur de données différentes ?

Je précise aussi que je cherche uniquement à comprendre l'algo de chiffrement utiliser, je ne donnerais pas de solution pour modifier les KM !

Merci d'avance a ceux qui participerons.

Salut Valentin,

Par rapport à ça :

La clé de chiffrement est de 48 Bits :
ex :
4A 58 5D 2F 30 B3
3F F7 D7 7D 7F C4

Je suis pas convaincu enfaite si tu regarde tes octets sur la 2 ieme ligne les bit de poid fort sont switché avec les bits de poid faible j'ai d'ailleurs observé plusieurs fois ce phénomène.

Donc est ce que tu es sur que la clé fait 48bits ?

Salut Valentin,

Par rapport à ça :

La clé de chiffrement est de 48 Bits :
ex :
4A 58 5D 2F 30 B3
3F F7 D7 7D 7F C4

Je suis pas convaincu enfaite si tu regarde tes octets sur la 2 ieme ligne les bit de poid fort sont switché avec les bits de poid faible j'ai d'ailleurs observé plusieurs fois ce phénomène.

Donc est ce que tu es sur que la clé fait 48bits ?

Dans les différents test que j'ai pu faire :

Avec Xprog quand tu remplace dans le fichier flash la valeur de la première clé : peut importe l'exemple :


4A 58 5D 2F 30 B3 --> 3A 58 5D 2F 30 B3
ou
4A 58 5D 2F 30 B3 --> 3A 58 5D 2F 30 B2
ou
4A 58 5D 2F 30 B3 --> 00 00 00 00 00 00 00


Le premier secteur crytpé de l'eeprom ne fonctionne plus correctement, c'est exactement la même chose avec les 7 autres secteurs.

Donc oui je suis sur que la clé est de 6 octets --> 48Bits ;)

Plus besoin de DUMP, pour trouver l'algo il faut désassembler le fichier binaire du 3217G.

Actuellement je suis dessus.

Plus besoin de DUMP, pour trouver l'algo il faut désassembler le fichier binaire du 3217G.

Actuellement je suis dessus.

Clairement au dessus de mes compétence, j'ai testé avec IDA PRO je pense que la partie algo est a la fin de la flash mais je ne sais pas par ou commencer..

RIP so hard for me closed

Salut,

Je suivais ton post par curiosité, c’est un métier ces désassemblage difficile de réussir seulement avec cette technique. Tu as des logs genre avec smok ?
Cdlt

Salut,

Je suivais ton post par curiosité, c’est un métier ces désassemblage difficile de réussir seulement avec cette technique. Tu as des logs genre avec smok ?
Cdlt

Salut,

Non zéro, effectivement c’est un métier et les logiciels de désassemblage ne prennent pas le CDC3217G..

Je pense que c’est possible mais pas solo en équipe ça doit pouvoir ce faire mais il faut un minimum de connaissances dans le code «*assembleur*»

C’est dommage je trouvais ça super cool de pouvoir comprendre l’algo a 100% sans utiliser un logiciel bêtement :/

Bonjour,

Je recherche des dumps 3217G + 24C32, compteur type RS3, ref possible :

- 8P0920932M
- 8P0920932R
- 8P0920933A
- 8P0920982T
- 8P0920983E
- 8P0920983M

J'ai les ref suivantes si ça peut aider quel qu'un 3217G + 24C32:


8P0 920 900 P

8P0 920 901 J

8P0 920 931 E
8P0 920 931 F
8P0 920 931 T

8P0 920 932 E
8P0 920 932 G

8P0 920 981 H
8P0 920 982 S


Je compare actuellement les différentes flash pour observer les différences, si le soft change, la manière de chiffrer les données est toujours la même...

ça devrais m'aider à trouver l'emplacement de l'algo :fencing:

Bonjour,
voici un peu de lecture ici: https://www.tlemcen-electronic.com/forum/showthread.php?t=89070&page=4

et ici http://blog.adamengineering.co.za/2017/08/reverse-engineering-vw-online-key.html

A bientôt

Merci pour la lecture ;)

Mon objectif c'est de comprendre l'algo pour le chiffrement de l'eeprom ;)

Bonjour,

Je continu ma petite histoire sur le CDC3217G.

J'ai trouvé 4 softs qui sont captable de déchiffré la 24C32 avec l'aide de la flash :


Xprog
CARPROG
FVDI
SmoK

j'ai Xprog 5.5.5 clone, il ne fonctionne pas bien pour la lecture/ecriture du 3217G mais
Avec la fonction de chiffrement et de déchiffrement du Xprog ça fonctionne nickel pour pouvoir éditer les IMMO DATA.
Je cherche toujours à comprendre comment fonctionne le chiffrement de la 24C32.

j'ai identifier l'emplacement des "clé" dans la flash et les différents secteur chiffré + leurs longeur. je me suis rendu compte après en fouillant dans le fichier de xprog que les info sont déjà écrite... :

//---Encrypted blocks
blocks=24
//---0
block_addr=$821,$82d,$839,$861,$86d,$879,$8a2,$8b6 ,$8ca,$8e2,$8f6,$90a,$922,$936,$94a,$962,$974,$986 ,$9a2,$9b4,$9c6,$9e2,$9f4,$a06
block_size=12,12,12,12,12,12,19,19,19,20,20,20,20, 20,20,16,16,16,18,18,18,18,18,18
block_key=0,0,0,1,1,1,2,2,2,3,3,3,4,4,4,5,5,5,6,6, 6,7,7,7
block_cs=0,0,0,0,0,0,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1 ,1,1,1

Il me reste 3 solutions pour comprendre le fonctionnement du chiffrement :


Désassembler Xprog/Carprog/smok/FVDI --> :der:
Désassemble le fichier flash 3217G
Jtag sur le 3217G depuis un compteur


1. Désassembler Xprog/Carprog/smok/FVDI

Objectif : Désassembler le programme pour comprendre comment il fonctionne.

Résultat : trop peut de connaissance dans ce domaine, ici les logiciels savent quand ont les démarre en mode débug donc impossible de désassembler le programme... je pense que c'est possible plus facilement sur Xprog contrairement au autre XD


2. Désassemble le fichier flash

Objectif : refaire le code mais dans l'autre sens pour voir comment ça marche

Résultat : je ne sais pas ou commence le programme dans les 1MB de flash, je ne sais pas non plus comment ajouter l'environnement du 3217G dans IDA PRO, ( eeprom et sont contenue, les différents registres, la RAM etc etc).
Donc compliqué pour un novice comme moi.

J'ai quand meme pu comparer plusieurs flash de référence différente et j'ai constater un truc logique, meme si le compteur ne sont pas les meme, ( exemple : un avec un LCD et l'autre sans) , la flash est forcement différente mais la partie de chiffrement est forcément identique peut importe la référence car le principe est le meme.

Il y a aussi un truc qui me semble logique : VDO est un énorme constructeur, je ne pense pas qu'il prendrait le risque d'inventer un algo de chiffrement. je pense donc que l'algo est un algo qui existe déjà.

3. Jtag sur 3217G

Objectif : être en mode debug directement sur la carte pour connaitre le contenue de la RAM ajouter des points d'arrêt et tout + pas d'environnement à refaire !

Résultat : je n'arrive pas a prendre la main sur le 3217g à cause de la sécurité, j'ai acheter une sonde JTAG plus performante pour voir si j'arrive à contourner la sécurité comme le fait Xprog.
Si Xprog le fais c'est que c'est possible. ça me semble etre la solution la plus accessible compte tenu de mes compétences.

Je try hard le truc à fond pour comprendre comment ça fonctionne ! je pense que vous avez pu le constater avec mes différentes expériences :21:

Si vous avez d'autres idées ou des pistes je suis preneur.

Bonjour,

La solution :

00 00 21 10 42 20 63 30 84 40 A5 50 C6 60 E7 70
08 81 29 91 4A A1 6B B1 8C C1 AD D1 CE E1 EF F1
31 12 10 02 73 32 52 22 B5 52 94 42 F7 72 D6 62
39 93 18 83 7B B3 5A A3 BD D3 9C C3 FF F3 DE E3
62 24 43 34 20 04 01 14 E6 64 C7 74 A4 44 85 54
6A A5 4B B5 28 85 09 95 EE E5 CF F5 AC C5 8D D5
53 36 72 26 11 16 30 06 D7 76 F6 66 95 56 B4 46
5B B7 7A A7 19 97 38 87 DF F7 FE E7 9D D7 BC C7
C4 48 E5 58 86 68 A7 78 40 08 61 18 02 28 23 38
CC C9 ED D9 8E E9 AF F9 48 89 69 99 0A A9 2B B9
F5 5A D4 4A B7 7A 96 6A 71 1A 50 0A 33 3A 12 2A
FD DB DC CB BF FB 9E EB 79 9B 58 8B 3B BB 1A AB
A6 6C 87 7C E4 4C C5 5C 22 2C 03 3C 60 0C 41 1C
AE ED 8F FD EC CD CD DD 2A AD 0B BD 68 8D 49 9D
97 7E B6 6E D5 5E F4 4E 13 3E 32 2E 51 1E 70 0E
9F FF BE EF DD DF FC CF 1B BF 3A AF 59 9F 78 8F
88 91 A9 81 CA B1 EB A1 0C D1 2D C1 4E F1 6F E1
80 10 A1 00 C2 30 E3 20 04 50 25 40 46 70 67 60
B9 83 98 93 FB A3 DA B3 3D C3 1C D3 7F E3 5E F3
B1 02 90 12 F3 22 D2 32 35 42 14 52 77 62 56 72
EA B5 CB A5 A8 95 89 85 6E F5 4F E5 2C D5 0D C5
E2 34 C3 24 A0 14 81 04 66 74 47 64 24 54 05 44
DB A7 FA B7 99 87 B8 97 5F E7 7E F7 1D C7 3C D7
D3 26 F2 36 91 06 B0 16 57 66 76 76 15 46 34 56
4C D9 6D C9 0E F9 2F E9 C8 99 E9 89 8A B9 AB A9
44 58 65 48 06 78 27 68 C0 18 E1 08 82 38 A3 28
7D CB 5C DB 3F EB 1E FB F9 8B D8 9B BB AB 9A BB
75 4A 54 5A 37 6A 16 7A F1 0A D0 1A B3 2A 92 3A
2E FD 0F ED 6C DD 4D CD AA BD 8B AD E8 9D C9 8D
26 7C 07 6C 64 5C 45 4C A2 3C 83 2C E0 1C C1 0C
1F EF 3E FF 5D CF 7C DF 9B AF BA BF D9 8F F8 9F
17 6E 36 7E 55 4E 74 5E 93 2E B2 3E D1 0E F0 1E

évidement à décompiler de votre coté

bisous :cheer2::cheer2::cheer2:

Hello,

j'ai eeprom + flash 8P0920932C et 8P0920901K si besoin.