本文作者：我是雷神托爾

購(gòu)買(mǎi)理由

因?yàn)槊看芜^(guò)小區(qū)門(mén)，地庫(kù)門(mén)，單元門(mén)，樓梯門(mén)，都要掏出一串鑰匙，刷掛在上面的門(mén)禁卡，感覺(jué)非常不爽。所以決定買(mǎi)一個(gè)可以模擬門(mén)禁卡的小米手環(huán)3 NFC版。我寫(xiě)這篇文章的目的也主要是為了需要這樣功能的朋友，一塊探索模擬門(mén)卡的過(guò)程。也為了那些已買(mǎi)的朋友解答，為什么有的非加密門(mén)卡顯示成功也不可以刷，有的門(mén)禁能行，有的門(mén)禁沒(méi)反應(yīng)。

此處插入購(gòu)買(mǎi)鏈接 。京東一般周一會(huì)放點(diǎn)貨出來(lái)，199的發(fā)售價(jià)格，感覺(jué)能再便宜些就好了。

小米（MI）小米手環(huán)3代NFC版（黑色） 智能運(yùn)動(dòng)|心率監(jiān)測(cè) NFC公交地鐵移動(dòng)支付| 來(lái)電|微信提醒|防水計(jì)步器199元

NFC門(mén)禁工作原理

NFC卡，你可以簡(jiǎn)單理解為，里面是個(gè)無(wú)線小U盤(pán)，存儲(chǔ)了門(mén)禁識(shí)別需要的數(shù)據(jù)。門(mén)禁就相當(dāng)于一個(gè)讀卡器，讀取NFC卡內(nèi)的數(shù)據(jù)，并和已經(jīng)登記的數(shù)據(jù)比對(duì)。如果和數(shù)據(jù)庫(kù)里的一樣，就把門(mén)鎖打開(kāi)。絕大部門(mén)禁，只要復(fù)制出來(lái)的卡和之前的卡信息完全一樣，就能正常使用。

小米手環(huán)能復(fù)制出完全一樣的信息么？讓我慢慢講來(lái)。

實(shí)驗(yàn)準(zhǔn)備：門(mén)禁卡一張，帶NFC功能安卓手機(jī)一部，在手機(jī)上安裝MIFARE。

實(shí)驗(yàn)步驟：（一）打開(kāi)NFC功能，并安裝MIFARE APP。MIFARE 是一款好用的NFC卡讀寫(xiě)工具，也就是說(shuō)我們可以用這個(gè)APP來(lái)讀取門(mén)禁卡的卡片類型，和數(shù)據(jù)信息。避免你們下錯(cuò)了，我把圖標(biāo)扔上來(lái)。

（二）打開(kāi)手機(jī)的NFC功能，打開(kāi)APP，將門(mén)禁卡貼近手機(jī)的NFC天線區(qū)域。注意一定要打開(kāi)NFC功能?。?/p>

（三）聽(tīng)到咚的一聲后，你的手機(jī)發(fā)現(xiàn)了一個(gè)NFC卡，請(qǐng)不要移動(dòng)卡片，操作的時(shí)候疊在手機(jī)下面好了。

發(fā)現(xiàn)新標(biāo)簽

（四）點(diǎn)擊 工具 —> 顯示標(biāo)簽信息，可以查看門(mén)卡符合的標(biāo)準(zhǔn)。我的卡符合ISO/IEC14443,TypeA標(biāo)準(zhǔn)。

卡片屬性

（五）退到主界面，選擇讀標(biāo)簽。

我們看一個(gè)拿讀取的數(shù)據(jù)卡，數(shù)據(jù)是這個(gè)樣子的?？偣灿?~15個(gè)扇區(qū)。

NFC卡數(shù)據(jù)結(jié)構(gòu)

扇區(qū)0第一行存放的是卡片UID號(hào)。我們可以理解為卡片的身份證號(hào)。

扇區(qū)1~扇區(qū)15，存放的是門(mén)禁廠商自己定義的數(shù)據(jù)。（1）可以是空扇區(qū)，數(shù)據(jù)全是0，密鑰A和密鑰B均為FFFFFFFFFFFF或000000000000，此時(shí)為非加密扇區(qū)。（2）還可以是有數(shù)據(jù)，無(wú)加密扇區(qū)。（3）還可以是有數(shù)據(jù)，加密扇區(qū)。

使用MIFARE 不但可以讀取門(mén)禁卡，可以讀取手環(huán)模擬的卡。我把自己的門(mén)禁卡和復(fù)制后的門(mén)禁卡，使用差異工具做了下對(duì)比。原卡為nfc1，手環(huán)模擬卡為nfc2，我們看一下扇區(qū)0的第一行，對(duì)比后發(fā)現(xiàn)后16個(gè)字符和原卡不一樣。這16個(gè)字符代表廠商信息。

原卡與手環(huán)模擬卡對(duì)比

扇區(qū)0第一行UID號(hào)=序號(hào)+廠商編碼 。

由于小米手環(huán)把廠商編碼鎖住了，所以廠商信息無(wú)法復(fù)制進(jìn)手環(huán)。這就導(dǎo)致了，所有帶有檢測(cè)廠商編碼的門(mén)禁，是無(wú)法使用的。如果你的門(mén)禁不檢測(cè)廠商信息，那是可以刷成功的，反正則無(wú)法刷成功。

下一節(jié)的復(fù)制方法，是建立在你的門(mén)禁不去識(shí)別廠商信息的基礎(chǔ)上的，不然結(jié)果肯定不行

Q：小米運(yùn)動(dòng)APP最適合模擬哪種卡片

A：適合模擬情況（1）的門(mén)禁卡，另外門(mén)禁僅檢測(cè)扇區(qū)0的UID的前16個(gè)字符是否正確，其它數(shù)據(jù)和扇區(qū)一律不管。另外你可以利用空白扇區(qū)存點(diǎn)資料，譬如磁力下載鏈接，門(mén)禁假裝看不見(jiàn)

Q：為什么我的門(mén)禁卡密鑰區(qū)，顯示的是 沒(méi)發(fā)現(xiàn)密鑰（或者死扇區(qū)）

A: 你的APP里沒(méi)有門(mén)禁卡的密鑰，所以讀不出來(lái)。我的演示圖片，通過(guò)MIFARE —>編輯增加密鑰文件，把我獲得的密鑰輸入進(jìn)去了，這樣我的軟件，就可以讀取全部信息了。

Q：為什么我的門(mén)禁卡是無(wú)加密卡，手環(huán)模擬后發(fā)現(xiàn)樓梯可以刷，單元門(mén)禁打不開(kāi)

A:因?yàn)樵瓘S的手環(huán)APP，僅復(fù)制了扇區(qū)0的內(nèi)容。樓梯的門(mén)禁只檢測(cè)你扇區(qū)0是否有權(quán)限，門(mén)禁讀取了整張卡片的內(nèi)容，但是小米運(yùn)動(dòng)APP并沒(méi)有給你復(fù)制上。

Q：以后有沒(méi)有可能更新固件，扇區(qū)0完全復(fù)制，實(shí)現(xiàn)完全模擬？

A：個(gè)人感覺(jué)官方是不會(huì)出固件了，畢竟那樣的話，沒(méi)人去花錢(qián)開(kāi)公交卡了。

門(mén)禁卡復(fù)制

如果你小區(qū)的門(mén)禁，不去識(shí)別廠商信息，請(qǐng)繼續(xù)研讀下面的門(mén)禁卡復(fù)制攻略解析。

那么，復(fù)制門(mén)禁卡到手環(huán)，總共分幾步。

第一大步 判斷自己的門(mén)禁卡符合要求么。（是否為符合14443標(biāo)準(zhǔn)的NFC卡）

第二大步 復(fù)制信息到手環(huán)。（手環(huán)APP復(fù)制->手機(jī)軟件復(fù)制->解密后再?gòu)?fù)制，難度由低到高）

另外感覺(jué)這個(gè)圖片上傳后，文字清晰度下降，這咋回事

《如來(lái)神掌-NFC-小米手環(huán)番外篇》

（1）對(duì)于僅0扇區(qū)有數(shù)據(jù)的門(mén)卡，小米運(yùn)動(dòng)APP，可以復(fù)制0扇區(qū)的內(nèi)容進(jìn)手環(huán)。不要額外操作，完美，趕緊下樓試試。

（2）對(duì)于除了0扇區(qū)，其它扇區(qū)也有數(shù)據(jù)，但是沒(méi)有加密的門(mén)卡。使用小米運(yùn)動(dòng)APP，復(fù)制。復(fù)制0扇區(qū)的內(nèi)容進(jìn)手環(huán)。使用MIFARE讀取原門(mén)卡數(shù)據(jù)，保存到手機(jī)。使用MIFARE將保存的數(shù)據(jù)，寫(xiě)入到手環(huán)中。由于沒(méi)有加密，所以手機(jī)可以輕松讀寫(xiě)除扇區(qū)0以外的扇區(qū)。

（3）對(duì)加密卡。請(qǐng)使用專用設(shè)備讀出密碼，記錄下來(lái)，比如我的14扇區(qū)有密碼。把密碼修改成FFFFFFFFFFFF，寫(xiě)到一張空白的NFC卡去（一般買(mǎi)設(shè)備會(huì)送幾張這樣的卡）。然后這就生成一張脫密卡了。此卡和原卡扇區(qū)0相同。先用小米運(yùn)動(dòng)APP，模擬此脫密卡。

修改為FFFFFFFFFFFF，脫密

把上一步密鑰保存到MIFARE的密鑰文件中，使用MIFARE讀取原卡，在手機(jī)上獲得完整的原卡信息。用MIFARE把完整的原卡信息，寫(xiě)入到手環(huán)中。

MIFARE上增加解出的密鑰

Q:密鑰的位置？

A:每第四行的前12個(gè)字符，后12個(gè)字符，MIFARE保存多個(gè)密鑰匙，每密鑰占一行

Q：所有加密卡都可以解密么

A: 絕大部分可以，一部分高級(jí)權(quán)限的卡難以解密，還有的門(mén)禁卡使用兩種芯片加密，NFC全解密是不夠的。

Q：模擬成功，僅第一次可以開(kāi)門(mén)，或者根本沒(méi)反應(yīng)

A：部分門(mén)禁有讀寫(xiě)功能，本身配發(fā)的是只讀卡，門(mén)禁會(huì)讀寫(xiě)你的復(fù)制卡，改變數(shù)據(jù)，如果改變成功說(shuō)明你拿的是可讀寫(xiě)的卡，就不理你了 。

Q：復(fù)制多個(gè)手環(huán)，僅有一個(gè)手環(huán)能用。

A：物業(yè)配備的是帶滾動(dòng)碼的門(mén)禁，為了更好的愛(ài)你（收費(fèi)辦卡）

Q：我發(fā)現(xiàn)用小米運(yùn)動(dòng)APP，即可以輕松模擬加密卡，不需要這么復(fù)雜步驟或者按本文無(wú)法操作

A:這篇寫(xiě)在8012年的文章，估計(jì)過(guò)時(shí)了，哈哈哈。你不知道哪天，他們升級(jí)固件，會(huì)改些什么。

Q：解密設(shè)備是什么樣？

A:我用的是這個(gè)，見(jiàn)下圖，應(yīng)該是120吧，還有更便宜的，名字就不說(shuō)了。大家各取所需。本小區(qū)物業(yè)一張卡賣(mài)40， 一想到卡片成本低于2元人民幣 ，買(mǎi)一個(gè)自己復(fù)制卡還是劃得來(lái)，畢竟卡片老是掉啊掉

NFC卡片讀寫(xiě)器

外觀展示

簡(jiǎn)單展示下小米手環(huán)3。箱子

這就是最外層的箱子

天氣預(yù)報(bào)

使用感受

佩戴了一個(gè)星期，感覺(jué)對(duì)于，我這種不經(jīng)常配帶手表的人來(lái)說(shuō)，還可以。手腕細(xì)的朋友可能貼合的不是很好。另外，小米手環(huán)模擬門(mén)卡，需要上傳身份證，這個(gè)大家自己把握。誰(shuí)也不想突然出現(xiàn)一個(gè)負(fù)資產(chǎn)的公司，法人是自己

久坐提醒，經(jīng)常忘記自己坐了好久了。。。。碼農(nóng)和司機(jī)有種職業(yè)病，對(duì)男性朋友不友好，有時(shí)候很難想到已經(jīng)坐了好久了。。。。心率監(jiān)測(cè)， 經(jīng)常8點(diǎn)25心率狂飆到130，百米沖刺向單位。。。睡眠監(jiān)測(cè)，一熬夜搶券睡眠質(zhì)量就下降。。。這幾個(gè)是我發(fā)現(xiàn)的比較好玩的功能。

另外我想到一些好的功能，比如到編個(gè)APP，到點(diǎn)搶券提醒。手機(jī)直接通知手環(huán)，這樣不會(huì)錯(cuò)過(guò)搶券時(shí)間，這樣張大媽APP和手環(huán)直接交互，會(huì)比較有意思。不過(guò)要弄懂手環(huán)的藍(lán)牙協(xié)議，不知道值友們有研究的么。

最后，我們小區(qū)的樓梯識(shí)別的是UID信息，單元門(mén)識(shí)別的是UID加其他扇區(qū)的內(nèi)容，這兩處門(mén)禁可以用。地庫(kù)門(mén)和小區(qū)門(mén)識(shí)別UID加廠商信息，不能用手環(huán)刷卡。

其它

篇幅限制，部分細(xì)節(jié)沒(méi)有一 一詳盡展示，比如怎么寫(xiě)MIFARE的讀寫(xiě)和增加密碼文件的步驟，大家自己摸索下就可以了。實(shí)在不行就度娘一下，軟件的使用，很簡(jiǎn)單的。。實(shí)在不行叔叔手把手教你（僅限萌妹）

技術(shù)總結(jié)

目前最重要的不是你的門(mén)卡有沒(méi)有加密，而是你們小區(qū)的門(mén)禁檢不檢測(cè)扇區(qū)0廠商信息那段數(shù)據(jù)，如果不，那就幾乎可以模擬成功了。其實(shí)沒(méi)啥很高深的內(nèi)容，技術(shù)總結(jié)完畢 （年輕的朋友啊，請(qǐng)戳文章下面的打賞，這是你邁上人生巔峰的第一步 。。。。）

等等，你想問(wèn)“我還沒(méi)有買(mǎi)手環(huán)，我怎么知道小區(qū)門(mén)禁要不要檢測(cè)廠商信息”，我的建議是，找人復(fù)制一張門(mén)禁卡，但是第一行的信息后16個(gè)字符，改為D200000100000000。小區(qū)附近，或者淘寶上，或者熱心值友，幫你復(fù)制下，很簡(jiǎn)單。

妹子說(shuō)：快打賞！！