搞定加密卡！小米门禁卡模拟那些事

实体芯片卡做为目前最成熟的技术，已被普遍应用于身份识别、金融消费、安全认证等领域。大多数人几乎天天都要和各类各样的卡片打交道，连回个家都得先把门卡翻出来，其实小米不只能够模拟公交和银行卡，还能瞬间秒变门禁卡，只要一部手机便可实现出入自由，是时候get真正的技能啦！

—— 支持模拟机型 ——

除小米2A和小米3外，全部内置NFC芯片的正品小米手机，均支持门卡模拟功能，目前包括17款机型：小米五、小米5s、小米5s Plus、小米六、小米八、小米8 屏幕指纹版、小米8 透明探索版、小米九、小米9 透明版、小米9 SE、小米Note 二、小米Note 3、小米MIX、小米MIX 2、小米MIX 2S、小米MIX 3、小米MIX 3 故宫特别版。以后新上市的机型恕不另行通知。

P.S：小米9和小米9 SE的NFC感应区域在手机背面顶端处，刷（写）卡时需贴于此处操做！

 

—— 检测卡片类型 ——

目前市面上常见的非接触实体卡，从原理上一般分为低频和高频两类，且与卡面的图案、形状、大小、厚度等（便是否为异形卡）无关。而小米手机内置的NFC硬件，只能模拟频率在13.56MHZ的高频卡，建议操做前先经过以下方式，判断本身的卡片是否支持被模拟。

1. 在手机端进入系统设置界面并点击更多链接方式项，而后在NFC一栏中开启NFC功能。

2. 依次进入系统设置 > 更多设置 > 系统安全界面，而后开启未知来源项（若在系统安全界面中找不到该项可忽略此步）。

 

3. 在手机端下载安装TagInfo软件并打开：下载地址（从其余渠道安装的软件可能没法使用）

4. 切换到技术选项卡界面，而后取下手机的后盖或保护套，并远离金属物体或强磁场环境。接着将须要模拟的单张实体卡，靠近手机背部上方NFC区域，并尝试上下左右远近移动，直到发出提示音且读出信息后在移开。

① 若不管如何移动卡片，手机都没有任何反应。可能该卡不属于13.56MHZ的高频卡，卡片已损坏或没有植入高频内芯，没法经过小米手机进行模拟；

② 若能读出卡片信息且在Memory content一栏中，全部扇区中的数据都能完整显示，则该卡属非加密卡且能够直接进行模拟；

③ 若能读出卡片信息且在Memory content一栏中，某扇区的第4块出现“unknown keys”提示，或部分扇区及所有扇区中的数据没法被读出，则该卡属加密卡且没法直接模拟；

④ 若能读出卡片信息但没有Memory content一栏，该卡可能为具有金融消费等特殊功能的CPU卡或复合卡（如公交卡、饭卡、银行卡、医疗卡），没法保证模拟成功及可用性；

⑤ 为避免NFC不稳定所形成的影响，建议重复刷卡至少5次并确认每次读出的信息均一致。

非加密卡

已加密卡

复合类卡

 

—— 非加密卡模拟 ——

未经加密处理的高频卡，是指该卡中全部扇区均采用默认密钥（一般所有为F）加密并能读出完整数据，或只存储卡号无其余相关数据，此类卡能够直接经过以下方式进行模拟。

1. 依次进入系统设置 > 个人设备 > MIUI 版本界面，点击检查更新并进行升级（目前最新版本的稳定版、开发版、内测版及体验版MIUI系统，均支持门卡模拟功能）。

2. 打开小米钱包自带应用，若该设备还没有关联小米账号，此时须进行注册或登陆操做。

 

3. 在主界面点击门卡模拟（门卡）图标，而后点击开始检测按钮并将须要模拟的非加密高频卡，靠近手机背部上方NFC区域，并尝试上下左右远近移动，直到发出提示音且检测成功后在移开（若该卡属非加密卡但却误提示为加密卡，需尝试反复进行刷卡操做便可）。

4. 此时点击开始模拟按钮并在用户须知界面点击赞成按钮，而后须要扫描身份证件正反面及验证小米账号密码，约一分钟时间便可烧录完成，最后输入卡片备注并点击完成按钮。

P.S：为有效保护我的隐私，建议在填写卡片备注时，使用宽泛或推荐的大众标签，避免输入小区、学校、公司等的具体名称及位置信息。

 

—— 已加密卡模拟 ——

为避免卡内重要信息的意外泄漏，防范非法篡改及复制卡内数据并形成安全隐患，一些卡片在发卡时会对数据进行加密处理，除非进行解密不然只经过模拟卡号（UID）也极可能没法使用。不过针对此类卡也并不是一筹莫展，对于一些不包含储值消费且功能单一的高频卡（如门禁卡、电梯卡、考勤卡），不妨尝试下这个一劳永逸的方法吧。

PS：如下方法沿用MIUI自带门卡模拟功能，并尝试烧录完整数据而非只模拟卡号，且操做完成后不须要依赖任何第三方软件。解Bootloader锁、刷机、获取ROOT权限、解system锁、修改系统底层文件都统统不须要，且没有任何安全隐患，也不会对其余依赖NFC的服务（小米公交、Mi Pay银行卡等）形成影响。

 

本帖隐藏内容

 

舒适提示：如下操做对于玩机新手可能较复杂，须严格按照本帖中的每一步，反复仔细核对并认真完成。须要有一些耐心切勿急于求成，若嫌麻烦可直接关闭本帖。

▼ 常见M1卡加密原理

Mifare S50芯片卡又称M1卡或IC卡，由飞利浦公司旗下恩智浦（NXP）研发。是目前国内最多见的高频卡，绝大部分学生卡、考勤卡、门禁卡、饭卡等本质均属于此类卡。

这种卡就像一个小容量加密U盘，其存储结构一般分为16个扇区（按序号0-15排列），且每一个扇区又分为4个块（按序号0-3排列），每个块均能存储16字节（32位）的16进制数据，其中：

1. 第0扇区第0块由制造商写入，且已固化没法进行改写，前4个字节为卡号（UID），不须要验证密钥也能读取；

2. 每一个扇区第3块（尾块）由A密钥（前6个字节）+控制位（中间4个字节）+B密钥（后6个字节）组成，其中控制位用于管理两个密钥的用途，及该扇区各块读写权限；

3. 经过结合控制位，一张M1卡最多能够设置32个（共384位）不一样的16进制数密钥，这类卡也被称之为全加密卡。

 

▼ 尝试破解并烧录模拟

1. 除了一张但愿烧录的加密M1卡，以及一台支持门卡模拟功能的小米手机（如下称A手机），还须要在另外准备一台支持全功能NFC的安卓手机，并做为写卡器使用（非小米手机亦可，但小米2A、小米3等非全功能NFC的手机可能不支持，如下称B手机）。

2. 两台手机在操做前，均需开启NFC并关闭Android Beam功能，MIUI可依次进入系统设置 > 更多链接方式 > Android Beam界面，并将开启Android Beam项关闭便可。

3. 在操做前建议删除B手机以前绑定过的全部模拟银行卡和门卡，MIUI可进入系统设置界面并点击小米账号项，而后点击退出登陆按钮并注销账号，以后在此处从新登陆该账号便可快速删除。

4. 若A手机以前已经添加太小米公交或其余门卡，建议在刷卡界面点击右上角齿轮图标，并将默认快捷卡片设为无。

 

5. 在B手机端下载安装MIFARE Classic Tool软件并打开：下载地址

6. 若已知该卡加密区所有密钥，可在主界面依次进入编辑/增长KEY文件 > 点击右上角“...”按钮 > 建立新的文件项，先在第一行中输入12个F，而后回车并在每一行中分别输入全部的有效A和B密钥（顺序无要求），并点击右上角软盘按钮进行保存（若尚不知道该卡片的任何密钥信息，可跳过此步骤继续完成后续的操做）。

7. 返回主界面并继续进入读取卡片项，而后仅勾选以前建立的密钥文件。若尚不知道该卡任何密钥信息，则勾选extended-std.keys和std.keys两个常见弱口令密钥文件。接着将须要模拟的单张实体卡，靠近手机背部上方NFC区域，并尝试上下左右远近移动，直到发出提示音后停留，并点击开始映射和读卡按钮，待读出所有扇区数据后在移开。

8. 此时先点击右上角的软盘按钮，并将卡内原始数据保存到手机本地。而后将全部加密扇区尾块（第3块）先后6个字节的数据所有改成F，并保留中间的控制位（切勿对中间的控制位字节作任何修改，不然可能会在后续操做中损坏卡片）。

P.S：若屡次尝试均有部分扇区中的数据没法读出，或直接提示未找到有效的Key，说明该卡密钥组合相对复杂，可能须要专业的辅助设备才有机会破解，由于对技术要求较高故此处不便详述，如对此感兴趣可自行探索，但必定注意不要触及法律底线哦。

 

9. 接着点击右上角“...”按钮并进入写Dump项，而后依次点击写DUMP并勾选全部扇区，接着将原卡靠近手机背部上方NFC区域，并尝试上下左右远近移动，直到发出提示音后停留，此时继续点击肯定按钮，勾选对应的密钥文件后点击开始映射和写DUMP按钮，待写入完成后在移开。

P.S：若没法将清除密钥后的数据写入卡片，可在此处依次勾选显示选项和高级：写入厂商块(0区扇区)项，而后用一张可写的空白CUID卡代替原卡写入便可（可自行在淘宝等电商平台搜索“CUID卡”商品，建议一次购买两张及以上且不要买错卡）。

10. 此时原卡的密钥已经被清除，可按上述操做先经过小米钱包，将该卡片烧录并添加到A手机中。

11. 继续在B手机端打开MIFARE Classic Tool软件，并在主界面中依次进入写入卡片 > 写Dump(克隆) > 选择DUMP > 勾选刚才保存的原始数据 > 选择DUMP > 勾选全部扇区，并在A手机的锁屏状态下双击Home键或电源键，若以前已经添加太小米公交或其余门卡，还须要再点击一次刚才添加的门卡，此时手机会进入刷卡状态并振动，接着将两台手机背部上方NFC区域相互贴近，当B手机发出提示音后勾选任意密钥文件，并点击开始映射和写DUMP按钮，待写入完成后在移开便可（此为关键步骤不可省略，不然因为模拟卡中还没有写入对应的扇区密钥，颇有可能致使没法刷卡成功）。

12. 将原卡靠近B手机背部上方NFC区域，并参考上一步操做写入原始数据进行还原。

 

 

 

—— 刷模拟卡测试 ——

卡片在手机端烧录成功后，还需前往与原卡所对应的刷卡器现场，并进行模拟卡刷卡测试。

▼ 进入刷卡模式

1. 在锁屏状态下双击Home键（部分机型不支持）或电源键（须要依次进入系统设置 > 更多设置 > 手势及按键快捷方式 > 小米钱包界面，并在此处将其设为双击电源键参数）。若但愿在解锁后双击Home键快速进入，能够在刷卡界面点击右上角的齿轮图标，并开启桌面键双击支付模式项便可。

2. 将锁屏主题设为默认，在锁屏状态下从屏幕左侧单指向右滑动，而后点击Mi Pay（小米钱包）项。

3. 打开系统设置并进入桌面与最近任务项，开启桌面信息助手功能。而后在桌面向右持续滑动并进入信息助手（负一屏）界面，点击“快捷功能”卡片右上角的三个点按钮并点击编辑项，接着在“实用工具”一栏中添加门卡快捷图标，只需在此处点击该图标便可进入刷卡界面。

4. 下载并更换支持摇一摇快速进入Mi Pay功能的锁屏主题，如碰见小树、小米Note 2 、小米MIX、小米Note 2迷你侧边栏版、纸间梦境、重返米星、米兔斗恶龙等，并在锁屏状态下快速大幅晃动手机2-3下便可进入刷卡界面（MIUI 10及以上版本可能不支持该功能）。

5. 打开小爱同窗并对她说：刷卡、打开门（禁）卡。

6. 将手机靠近通电的刷卡器，便可自动进入刷卡界面（灵敏度较弱的刷卡器可能不支持）。

若是以前已经添加太小米公交或其余门卡，还须要再点击一次刚才添加的门卡，此时手机才会进入刷卡状态并振动。若但愿每次都能自动切换并直接刷卡，能够在刷卡界面点击右上角的齿轮图标，并将默认快捷卡片设为该卡便可。

 

▼ 刷模拟卡测试

当选择对应的模拟卡并进入刷卡状态后，手机会发出有规律的轻微振动。此时将手机背部上方NFC区域，靠近读卡器的卡片感应位置，并尝试上下左右远近移动，当读卡器发出验证经过的提示音（如一声长鸣），或提示刷卡成功后便可移开。

为确保模拟卡绝对可用，建议重复刷卡测试5次及以上，当出现以下状况并致使刷卡失败时：

* 不管如何移动手机，读卡器都没有任何反应（模拟卡未识别或主动拒绝）

* 读卡器发出验证失败的提示音（如四声短鸣）或提示刷卡失败（模拟卡已识别但主动拒绝）

* 首次刷卡成功，但以后就没有任何反应（模拟卡已屏蔽或数据被篡改）

* 只有部分读卡器刷卡成功（如小区外门可以识别，但楼宇门禁却没有反应）

可参考以下缘由及解决方案：

1. 确保原卡自己可用，且手机已进入对应模拟卡的刷卡状态；

2. 以前烧录的数据不完成或有误，此时可依次进入小米钱包 > 门卡模拟 > 点击该卡 > 卡片设置 > 删除这张卡片并将其删除，而后按上述步骤从新添加后在尝试；

3. 读卡器有防火墙安全机制，可以识别出原配卡并主动拒绝其余模拟卡或复制卡；

4. 为防范非法使用其余可写复制卡，部分读卡器在验证完成同时，还会尝试篡改卡内数据，并致使模拟卡没法继续使用。即便删除后从新添加卡片，也一样只能刷一次且当即失效；

5. 经过小米手机烧录的模拟卡，在制造商块（0扇区0块）与原卡可能会有所差别，致使读卡器没法识别或主动拒绝；

6. 该卡片为具有金融消费等特殊功能的CPU卡或复合卡，结构较复杂且没法进行完整模拟。

 

随着智能指纹门锁产品的迅速普及，一言不合就把本身丢在门外的“马大哈”们终于有了盼头。却仍然没法摆脱被小区门禁及各类卡片支配的恐惧。那么就让小米手机来帮你破除封印吧，今后告别臃肿的口袋，每一次出行都将变得轻松自如。