搞定加密卡！小米門禁卡模擬那些事

實體芯片卡做爲目前最成熟的技術，已被普遍應用於身份識別、金融消費、安全認證等領域。大多數人幾乎天天都要和各類各樣的卡片打交道，連回個家都得先把門卡翻出來，其實小米不只能夠模擬公交和銀行卡，還能瞬間秒變門禁卡，只要一部手機便可實現出入自由，是時候get真正的技能啦！

—— 支持模擬機型 ——

除小米2A和小米3外，全部內置NFC芯片的正品小米手機，均支持門卡模擬功能，目前包括17款機型：小米五、小米5s、小米5s Plus、小米六、小米八、小米8 屏幕指紋版、小米8 透明探索版、小米九、小米9 透明版、小米9 SE、小米Note 二、小米Note 3、小米MIX、小米MIX 2、小米MIX 2S、小米MIX 3、小米MIX 3 故宮特別版。以後新上市的機型恕不另行通知。

P.S：小米9和小米9 SE的NFC感應區域在手機背面頂端處，刷（寫）卡時需貼於此處操做！

 

—— 檢測卡片類型 ——

目前市面上常見的非接觸實體卡，從原理上一般分爲低頻和高頻兩類，且與卡面的圖案、形狀、大小、厚度等（便是否爲異形卡）無關。而小米手機內置的NFC硬件，只能模擬頻率在13.56MHZ的高頻卡，建議操做前先經過以下方式，判斷本身的卡片是否支持被模擬。

1. 在手機端進入系統設置界面並點擊更多鏈接方式項，而後在NFC一欄中開啓NFC功能。

2. 依次進入系統設置 > 更多設置 > 系統安全界面，而後開啓未知來源項（若在系統安全界面中找不到該項可忽略此步）。

 

3. 在手機端下載安裝TagInfo軟件並打開：下載地址（從其餘渠道安裝的軟件可能沒法使用）

4. 切換到技術選項卡界面，而後取下手機的後蓋或保護套，並遠離金屬物體或強磁場環境。接着將須要模擬的單張實體卡，靠近手機背部上方NFC區域，並嘗試上下左右遠近移動，直到發出提示音且讀出信息後在移開。

① 若不管如何移動卡片，手機都沒有任何反應。可能該卡不屬於13.56MHZ的高頻卡，卡片已損壞或沒有植入高頻內芯，沒法經過小米手機進行模擬；

② 若能讀出卡片信息且在Memory content一欄中，全部扇區中的數據都能完整顯示，則該卡屬非加密卡且能夠直接進行模擬；

③ 若能讀出卡片信息且在Memory content一欄中，某扇區的第4塊出現「unknown keys」提示，或部分扇區及所有扇區中的數據沒法被讀出，則該卡屬加密卡且沒法直接模擬；

④ 若能讀出卡片信息但沒有Memory content一欄，該卡可能爲具有金融消費等特殊功能的CPU卡或複合卡（如公交卡、飯卡、銀行卡、醫療卡），沒法保證模擬成功及可用性；

⑤ 爲避免NFC不穩定所形成的影響，建議重複刷卡至少5次並確認每次讀出的信息均一致。

非加密卡

已加密卡

複合類卡

 

—— 非加密卡模擬 ——

未經加密處理的高頻卡，是指該卡中全部扇區均採用默認密鑰（一般所有爲F）加密並能讀出完整數據，或只存儲卡號無其餘相關數據，此類卡能夠直接經過以下方式進行模擬。

1. 依次進入系統設置 > 個人設備 > MIUI 版本界面，點擊檢查更新並進行升級（目前最新版本的穩定版、開發版、內測版及體驗版MIUI系統，均支持門卡模擬功能）。

2. 打開小米錢包自帶應用，若該設備還沒有關聯小米賬號，此時須進行註冊或登陸操做。

 

3. 在主界面點擊門卡模擬（門卡）圖標，而後點擊開始檢測按鈕並將須要模擬的非加密高頻卡，靠近手機背部上方NFC區域，並嘗試上下左右遠近移動，直到發出提示音且檢測成功後在移開（若該卡屬非加密卡但卻誤提示爲加密卡，需嘗試反覆進行刷卡操做便可）。

4. 此時點擊開始模擬按鈕並在用戶須知界面點擊贊成按鈕，而後須要掃描身份證件正反面及驗證小米賬號密碼，約一分鐘時間便可燒錄完成，最後輸入卡片備註並點擊完成按鈕。

P.S：爲有效保護我的隱私，建議在填寫卡片備註時，使用寬泛或推薦的大衆標籤，避免輸入小區、學校、公司等的具體名稱及位置信息。

 

—— 已加密卡模擬 ——

爲避免卡內重要信息的意外泄漏，防範非法篡改及複製卡內數據並形成安全隱患，一些卡片在髮卡時會對數據進行加密處理，除非進行解密不然只經過模擬卡號（UID）也極可能沒法使用。不過針對此類卡也並不是一籌莫展，對於一些不包含儲值消費且功能單一的高頻卡（如門禁卡、電梯卡、考勤卡），不妨嘗試下這個一勞永逸的方法吧。

PS：如下方法沿用MIUI自帶門卡模擬功能，並嘗試燒錄完整數據而非只模擬卡號，且操做完成後不須要依賴任何第三方軟件。解Bootloader鎖、刷機、獲取ROOT權限、解system鎖、修改系統底層文件都統統不須要，且沒有任何安全隱患，也不會對其餘依賴NFC的服務（小米公交、Mi Pay銀行卡等）形成影響。

 

本帖隱藏內容

 

舒適提示：如下操做對於玩機新手可能較複雜，須嚴格按照本帖中的每一步，反覆仔細覈對並認真完成。須要有一些耐心切勿急於求成，若嫌麻煩可直接關閉本帖。

▼ 常見M1卡加密原理

Mifare S50芯片卡又稱M1卡或IC卡，由飛利浦公司旗下恩智浦（NXP）研發。是目前國內最多見的高頻卡，絕大部分學生卡、考勤卡、門禁卡、飯卡等本質均屬於此類卡。

這種卡就像一個小容量加密U盤，其存儲結構一般分爲16個扇區（按序號0-15排列），且每一個扇區又分爲4個塊（按序號0-3排列），每個塊均能存儲16字節（32位）的16進制數據，其中：

1. 第0扇區第0塊由製造商寫入，且已固化沒法進行改寫，前4個字節爲卡號（UID），不須要驗證密鑰也能讀取；

2. 每一個扇區第3塊（尾塊）由A密鑰（前6個字節）+控制位（中間4個字節）+B密鑰（後6個字節）組成，其中控制位用於管理兩個密鑰的用途，及該扇區各塊讀寫權限；

3. 經過結合控制位，一張M1卡最多能夠設置32個（共384位）不一樣的16進制數密鑰，這類卡也被稱之爲全加密卡。

 

▼ 嘗試破解並燒錄模擬

1. 除了一張但願燒錄的加密M1卡，以及一臺支持門卡模擬功能的小米手機（如下稱A手機），還須要在另外準備一臺支持全功能NFC的安卓手機，並做爲寫卡器使用（非小米手機亦可，但小米2A、小米3等非全功能NFC的手機可能不支持，如下稱B手機）。

2. 兩臺手機在操做前，均需開啓NFC並關閉Android Beam功能，MIUI可依次進入系統設置 > 更多鏈接方式 > Android Beam界面，並將開啓Android Beam項關閉便可。

3. 在操做前建議刪除B手機以前綁定過的全部模擬銀行卡和門卡，MIUI可進入系統設置界面並點擊小米賬號項，而後點擊退出登陸按鈕並註銷賬號，以後在此處從新登陸該賬號便可快速刪除。

4. 若A手機以前已經添加太小米公交或其餘門卡，建議在刷卡界面點擊右上角齒輪圖標，並將默認快捷卡片設爲無。

 

5. 在B手機端下載安裝MIFARE Classic Tool軟件並打開：下載地址

6. 若已知該卡加密區所有密鑰，可在主界面依次進入編輯/增長KEY文件 > 點擊右上角「...」按鈕 > 建立新的文件項，先在第一行中輸入12個F，而後回車並在每一行中分別輸入全部的有效A和B密鑰（順序無要求），並點擊右上角軟盤按鈕進行保存（若尚不知道該卡片的任何密鑰信息，可跳過此步驟繼續完成後續的操做）。

7. 返回主界面並繼續進入讀取卡片項，而後僅勾選以前建立的密鑰文件。若尚不知道該卡任何密鑰信息，則勾選extended-std.keys和std.keys兩個常見弱口令密鑰文件。接着將須要模擬的單張實體卡，靠近手機背部上方NFC區域，並嘗試上下左右遠近移動，直到發出提示音後停留，並點擊開始映射和讀卡按鈕，待讀出所有扇區數據後在移開。

8. 此時先點擊右上角的軟盤按鈕，並將卡內原始數據保存到手機本地。而後將全部加密扇區尾塊（第3塊）先後6個字節的數據所有改成F，並保留中間的控制位（切勿對中間的控制位字節作任何修改，不然可能會在後續操做中損壞卡片）。

P.S：若屢次嘗試均有部分扇區中的數據沒法讀出，或直接提示未找到有效的Key，說明該卡密鑰組合相對複雜，可能須要專業的輔助設備纔有機會破解，由於對技術要求較高故此處不便詳述，如對此感興趣可自行探索，但必定注意不要觸及法律底線哦。

 

9. 接着點擊右上角「...」按鈕並進入寫Dump項，而後依次點擊寫DUMP並勾選全部扇區，接着將原卡靠近手機背部上方NFC區域，並嘗試上下左右遠近移動，直到發出提示音後停留，此時繼續點擊肯定按鈕，勾選對應的密鑰文件後點擊開始映射和寫DUMP按鈕，待寫入完成後在移開。

P.S：若沒法將清除密鑰後的數據寫入卡片，可在此處依次勾選顯示選項和高級：寫入廠商塊(0區扇區)項，而後用一張可寫的空白CUID卡代替原卡寫入便可（可自行在淘寶等電商平臺搜索「CUID卡」商品，建議一次購買兩張及以上且不要買錯卡）。

10. 此時原卡的密鑰已經被清除，可按上述操做先經過小米錢包，將該卡片燒錄並添加到A手機中。

11. 繼續在B手機端打開MIFARE Classic Tool軟件，並在主界面中依次進入寫入卡片 > 寫Dump(克隆) > 選擇DUMP > 勾選剛纔保存的原始數據 > 選擇DUMP > 勾選全部扇區，並在A手機的鎖屏狀態下雙擊Home鍵或電源鍵，若以前已經添加太小米公交或其餘門卡，還須要再點擊一次剛纔添加的門卡，此時手機會進入刷卡狀態並振動，接着將兩臺手機背部上方NFC區域相互貼近，當B手機發出提示音後勾選任意密鑰文件，並點擊開始映射和寫DUMP按鈕，待寫入完成後在移開便可（此爲關鍵步驟不可省略，不然因爲模擬卡中還沒有寫入對應的扇區密鑰，頗有可能致使沒法刷卡成功）。

12. 將原卡靠近B手機背部上方NFC區域，並參考上一步操做寫入原始數據進行還原。

 

 

 

—— 刷模擬卡測試 ——

卡片在手機端燒錄成功後，還需前往與原卡所對應的刷卡器現場，並進行模擬卡刷卡測試。

▼ 進入刷卡模式

1. 在鎖屏狀態下雙擊Home鍵（部分機型不支持）或電源鍵（須要依次進入系統設置 > 更多設置 > 手勢及按鍵快捷方式 > 小米錢包界面，並在此處將其設爲雙擊電源鍵參數）。若但願在解鎖後雙擊Home鍵快速進入，能夠在刷卡界面點擊右上角的齒輪圖標，並開啓桌面鍵雙擊支付模式項便可。

2. 將鎖屏主題設爲默認，在鎖屏狀態下從屏幕左側單指向右滑動，而後點擊Mi Pay（小米錢包）項。

3. 打開系統設置並進入桌面與最近任務項，開啓桌面信息助手功能。而後在桌面向右持續滑動並進入信息助手（負一屏）界面，點擊「快捷功能」卡片右上角的三個點按鈕並點擊編輯項，接着在「實用工具」一欄中添加門卡快捷圖標，只需在此處點擊該圖標便可進入刷卡界面。

4. 下載並更換支持搖一搖快速進入Mi Pay功能的鎖屏主題，如碰見小樹、小米Note 2 、小米MIX、小米Note 2迷你側邊欄版、紙間夢境、重返米星、米兔鬥惡龍等，並在鎖屏狀態下快速大幅晃動手機2-3下便可進入刷卡界面（MIUI 10及以上版本可能不支持該功能）。

5. 打開小愛同窗並對她說：刷卡、打開門（禁）卡。

6. 將手機靠近通電的刷卡器，便可自動進入刷卡界面（靈敏度較弱的刷卡器可能不支持）。

若是以前已經添加太小米公交或其餘門卡，還須要再點擊一次剛纔添加的門卡，此時手機纔會進入刷卡狀態並振動。若但願每次都能自動切換並直接刷卡，能夠在刷卡界面點擊右上角的齒輪圖標，並將默認快捷卡片設爲該卡便可。

 

▼ 刷模擬卡測試

當選擇對應的模擬卡並進入刷卡狀態後，手機會發出有規律的輕微振動。此時將手機背部上方NFC區域，靠近讀卡器的卡片感應位置，並嘗試上下左右遠近移動，當讀卡器發出驗證經過的提示音（如一聲長鳴），或提示刷卡成功後便可移開。

爲確保模擬卡絕對可用，建議重複刷卡測試5次及以上，當出現以下狀況並致使刷卡失敗時：

* 不管如何移動手機，讀卡器都沒有任何反應（模擬卡未識別或主動拒絕）

* 讀卡器發出驗證失敗的提示音（如四聲短鳴）或提示刷卡失敗（模擬卡已識別但主動拒絕）

* 首次刷卡成功，但以後就沒有任何反應（模擬卡已屏蔽或數據被篡改）

* 只有部分讀卡器刷卡成功（如小區外門可以識別，但樓宇門禁卻沒有反應）

可參考以下緣由及解決方案：

1. 確保原卡自己可用，且手機已進入對應模擬卡的刷卡狀態；

2. 以前燒錄的數據不完成或有誤，此時可依次進入小米錢包 > 門卡模擬 > 點擊該卡 > 卡片設置 > 刪除這張卡片並將其刪除，而後按上述步驟從新添加後在嘗試；

3. 讀卡器有防火牆安全機制，可以識別出原配卡並主動拒絕其餘模擬卡或複製卡；

4. 爲防範非法使用其餘可寫複製卡，部分讀卡器在驗證完成同時，還會嘗試篡改卡內數據，並致使模擬卡沒法繼續使用。即便刪除後從新添加卡片，也一樣只能刷一次且當即失效；

5. 經過小米手機燒錄的模擬卡，在製造商塊（0扇區0塊）與原卡可能會有所差別，致使讀卡器沒法識別或主動拒絕；

6. 該卡片爲具有金融消費等特殊功能的CPU卡或複合卡，結構較複雜且沒法進行完整模擬。

 

隨着智能指紋門鎖產品的迅速普及，一言不合就把本身丟在門外的「馬大哈」們終於有了盼頭。卻仍然沒法擺脫被小區門禁及各類卡片支配的恐懼。那麼就讓小米手機來幫你破除封印吧，今後告別臃腫的口袋，每一次出行都將變得輕鬆自如。