·T5557读卡模块（加USB转TTL）
·T5557白卡
·USB 逻辑分析仪
·杜邦线若干

·非接触方式的读/写数据传输
·从100 KHz到150KHz的无线电载波频率
·与e5550产品兼容并扩展的应用模式
·小容量, 其结构与国际标准 ISO/IEC11784/785相容
·在芯片上掩模有75pF的谐振电容
·包括32bit密码区在内的7x32bit的E2PROM存储空间
·单独开设有64 bit存储空间作为厂商可追溯的数据区
·32-bit配置寄存器在E2PROM中可作如下设置：
·数据速率：RF/2 到RF/128或e5550的固定值(通常使用在RF/32或RF/64)
·调制/编译码：FSK、PSK、曼彻斯特、双相、NRZ(典型为：曼彻斯特)
·其他的选项：密码模式、最大区块特性、按请求回答(AOR)模式(默认值：PASS＝0、MAXB＝7、AOR＝0)；反向数据输出、直接访问模式、序列终结符、写保护(每一块完全锁位)、OTP功能等。
·存储体结构：存储体是330bit的E2PROM,安排在0和1页的10个块中，每个块（包含被同时规划的bit锁块位）有33 bit。第0页有8个存储块，其中的块0包含配置/控制数据，在正常读操作期间是不被传输的。块7可以被用户当作写保护密码使用，与最大区块的显示值配合，可设置某些块值或第7块密码值不可见，只有知道密码的合法用户才能访问卡片中的数据块。每块存储体的位首，即第0bit，是该块不可查看但可一次性改写的锁块控制位(即OTP特性。为安全起见，一应提供改写各块第0位的OTP功能)。第1页的块1和块2包含可追溯数据，并且被Atmel在制造测试期间进行其数据规划并且锁定。

1.卡片存在密码，只能进行块读。
2.块二和块四前面2个字节为卡片金额，即为￥8.01。

·猜！脑洞大开的猜！
·通过充值软件，分析出数据联系。（希望不大）
·逻辑分析澡卡机器，得到数据关系。

数据传输过程中CRC校验

1st       2nd
00024xxx  00024xxx   可能为学号
1111F16C  0810FB30   金额及校验码
01440000  01440000   卡的类型（用户卡、管理卡巴拉巴拉）
1111F16C  0810FB30   同上
00003D3O  00003D3O   校验数据
00003D3O  00003D3O   同上

import crcmod
import string#create CRC16 calculator
crc16 = crcmod.predefined.mkCrcFun('crc-16')#wait for user input

hstr = '00 00 8D 7F'
blah = ''.join(chr(int(c, 16)) for c in hstr.split())
check = hex(crc16(blah))  for i in range(0, 255 + 1):for j in range(0, 255+1):str_hex_i = hex(i)[2:].upper() #format string like 'EE'str_hex_j = hex(j)[2:].upper()data = '50 00 %s %s'%(str_hex_i, str_hex_j) #format string like '09 13 9F EE'blah = ''.join(chr(int(c, 16)) for c in data.split())data = hex(crc16(blah))if data == check:print str_hex_i, str_hex_jbreak

1p ：页面选择（10/11）
Password ：32位密码
L ：锁位， 是否锁定该块数据（0/1）
Data：32位数据
Addr：块地址位，例如块5（101）

·书本上的知识还是有用的！当时破解时计算机组成原理、数字逻辑基本上忘得一干二净，无奈又重读了一遍。要是还记得的话，估计进度可以提前几天。
·英语很重要啊！要不然文档都看不懂，中文翻译有时候很水。
·基础很重要，这一起都会变得游刃有余。

本文转自 K1two2 博客园博客，原文链接：http://www.cnblogs.com/k1two2/p/5493411.html  ，如需转载请自行联系原作者