大家好，又见面了，我是你们的朋友全栈君。

近来小区安装了智能门禁，但只配发了一张门禁卡，不方便使用，于是产生了用手机模拟门禁卡，或者复制一张门禁卡的想法。

本文使用的软件：（CSDN无法修改下载积分了。。。）

包括手机NFC读写卡神器Mifare Classic Tool(MCT)2.2.5最新版、手机读卡工具NFC TagInfo、NFC卡模拟软件Card emulator、RE管理器，以及一款NFC模拟的小工具0.4（适配机型不多）。

（由于原理一致，本文只侧重于讨论手机NFC写白卡，不讨论PN532、PM3、COPY5等设备读写卡。）

（本文是对研究过程的记录，只作学术研究，作者遵纪守法，是个良民。）

M1卡：全称Mifare classic 1K，普通IC卡，0扇区不可修改，其他扇区可以反复擦写。通常我们使用的门禁卡、电梯卡都是M1卡。

M1卡是NXP（恩智浦半导体）公司研发的IC卡，执行标准是ISO/IEC14443 Type A，读写频率是13.56MHz。目前大多数手机厂商使用的NFC芯片都是NXP，另一部分则是BRCM（博通）方案，均执行同一标准，这是手机读写M1卡的技术基础。

UID卡：普通复制卡，可以反复擦写所有扇区，门禁有防火墙则失效。

CUID：升级复制卡，可以反复擦写所有扇区，可以穿透大部分防火墙。

FUID：高级复制卡，0扇区只能写入一次，写入后变为M1卡。

UFUID：超高级复制卡，0扇区只能写入一次，封卡后变为M1卡，不封卡变为UID卡。

复制卡均可在网上购买，有普通卡片、钥匙扣、滴胶卡等类型，CUID通常1.5元/张，越高级的卡越贵。

（计算机领域的计数均是从0开始）

（M1卡标准储存的数据使用16进制，简称HEX，即由0-9、A-F组成，也写作0xAA）

Mifare classic 1K，即存储容量1K=1024Byte，包括16个扇区，每个扇区含4个块，每个块16Byte.

第0扇区比较特殊，0区0块前8位为厂商UID码，可以理解为M1卡的识别码。

0-2块为储存内容区间。

3块为系统保留区间，用于存放卡密码和控制码，其中：

3块前12位为keyA（密码A）,3块后12位为keyB（密码B），3块中间8位为控制码。

A/B密码的默认值为12个F或0，翻译为2进制即4*12个1或0

控制码默认值为FF078069，意思是A密码（非默认情况下）不可见，B密码可见，读写验证A密码。

M1卡结构的参考文章

M1卡有4种主要权限：读、写、增量、减量。

以及2种附权限：读写控制码、读写A/B密码。

每种权限都要使用A或B密码、并在控制码约束下来操作。

基于M1卡的结构及读取权限特点，M1卡又可以分为非加密、半加密、全加密三种类型。

非加密：16个扇区的A/B密码均使用默认值。

半加密：0扇区外的某一个或多个数据扇区A/B密码不是默认值。

全加密：所有扇区A/B密码不是默认值。（由于M1卡的加密逻辑已经被公开，所以所有的M1加密卡都可以被破解，破解能力PN532