home *** CD-ROM | disk | FTP | other *** search
/ Hackers Underworld 2: Forbidden Knowledge / Hackers Underworld 2: Forbidden Knowledge.iso / PHREAK / CPP2.TXT < prev    next >
Text File  |  1994-07-17  |  35KB  |  617 lines
  1. THE HIGH TECH HOODS
  2. & A-CORP PRESENTS... 
  3.  
  4.                         *%*%*%*%*%*%*%*%*%*%*%*%*%*%*
  5.                         *%       THE ULTIMATE      %*
  6.                         *% CELLULAR PHONE PHREAKS  %*
  7.                         *%     MANUAL PART 2       %*
  8.                         *%                         %*
  9.                         *%   WRITTEN BY THE RAVEN  %*
  10.                         *%     AND INTROSPECT      %*
  11.                         *%*%*%*%*%*%*%*%*%*%*%*%*%*%*
  12.  
  13.  
  14.  
  15.  
  16.                                                       THE RAVEN
  17.                                                       +=======+
  18.        THANKS TO THE FOLLOWING:  PEBBLES, BIT STREAM & THOMAS ICOM
  19. /\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\//\/\/\/\/\/\/\/\/\/\/\/\
  20.  
  21.      INDEX:
  22.  
  23.               I. WHAT'S IN A NAM
  24.              II. NAM/ESN REPROGRAMMING
  25.             III. ADVANCED REPROGRAMMING
  26.              IV. OBTAINING SYS. REGISTRATION DATA
  27.               V. REPROGRAMMING YOUR PHONE
  28.              VI. ------------------------
  29.  
  30. \/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\/\
  31.  
  32.  I. What's In A NAM
  33.  
  34.  First thing were going to start with is the NAM. The NAM is a PROM, A blank
  35. NAM costs about $5. Sometimes its more expensive depending on the operating
  36. temperature and packaging specifications.
  37.  Two flavors of NAM's are most commonly used for cellular phones. NEC Corp.
  38. uses the open collector (SIGNETICS p/n 82S23 or equivalent). All others use
  39. the tri-state (SIGNETICS 82S123 or equivalent). Blank NAMs are manufactured by
  40. Signetics, National Semiconductor, Monolithic Memorys, Fujitsu, Texas Instrum
  41. ents, and Advanced Microdevices. Blank NAMs can be purchased at your local
  42. electronic distributor's, thru the various parts sources advertised in 
  43. electronic magazines, and some radios come with a blank included.
  44.  The NAM contains the subscriber number and lock code, the home system ID and
  45. other system-required data. You may wonder how this info is arranged. The NAM
  46. is organized into 32 rows and 8 colums. It is 32 words of 8 bits each.
  47. (256 bits total). Starting  from top of the NAM (address 00), you will find
  48. the abreviation SIDH. This means "System Identifaction Number Home", a number
  49. starting at 0001 assigned by the FCC. Each market allows two systems. These
  50. two digits are even for the wire-line and odd for the non-wireline.
  51.  At address 03, we find LU (Local Use) on the left and MIN on the right, and
  52. they are usually set to 1. Locations with zeros are reserved. Going down the
  53. map, there's MIN1 and MIN2-the subscriber number and the area code respectively
  54. Dont try to read them from a raw printout of the NAM data, as they are 
  55. scrambled beyond recognition. The reason? THe way they are arranged is the way
  56. they must be transmitted to the cellular systems receivers. The programmer
  57. does this to make the radio's job easier.
  58.  Next is the station class mark, which identifies the class and power
  59. capability of the phone. The system will treat a handheld (low power) 
  60. differently than a standard 3-watt mobile.
  61.  
  62.  IPCH is the Inital Paging Channel. The radio listens for a page on this
  63. channel. Wirelines use 334 and non-wirelines use 333.
  64.  
  65.  ACCOLC (ACCess Overload Class) is designed for throwing off customers in the
  66. event of an overload. Thru neglect, this standard has been largly unused.
  67. (A Class 15 stationis supposed to be police, fire or military). Usually, It's
  68. a set to 0 plus the last digit of the phone number to provide random loading.
  69.  
  70.  PS (Preferred System). This is always 1 in a non-wireline and 0 in wireline.
  71.  
  72.  The Lock Code is about the only thing you can read directly by studying NAM
  73. data. The "spare" bit must be a 0 if the radio contains a 3-digit code.
  74. Because the number of clicks when you dial 0 on a (dial) phone equals 10,
  75. zeros in the lock code are represented by an "A"(the hexadecimal equiv of 10).
  76.  
  77.  EE, REP, HA and HF correspond to end-to-end signaling (DTMF tones, possibly
  78. as you talk), and REPeratory dialing (provision for 10 or more numbers in
  79. memory).
  80.  
  81.  Horn Alert and Hands Free. Like all options, they are 1 if turned on and 0 if
  82. turned off (all these numbers are in hex). They are supposed to be used by
  83. radio makers to store option switches. Usually 13 is used, 14 sometimes and 
  84. the rest less often.
  85.  
  86.  Last, you will find Cheksum Adjustment and Checksum. These numbers are 
  87. calculated automatically after the data has been edited for the NAM. The sum
  88. of all words in the NAM plus these last two must equal a number with 0's in
  89. the last two digits. The radio checks this sum and if it isn't correct the
  90. radio assumes the NAM is bad or tampered with. In the case radio refuses to
  91. operate until a legal NAM is installed.
  92.  
  93.                         THE ANATOMY OF A NAM
  94.                         --------------------
  95.  
  96.        MARK Defin.    most <-- BIT Significance --> least Hex
  97.        ------------------------------------------------------
  98.                              0     SIDH (14-8)            00
  99.                                    SIDH (7-0)             01
  100.        LU=Local use LU       000000        MIN            02
  101.                              00    MIN2 (33-28)           03
  102.                                    MIN2 (27-24)  0000     04
  103.                              0000  MIN1 (23-20)           05
  104.                                    MIN1 (19-12)           06
  105.                                    MIN1 (11-4)            07
  106.                                    MIN1 (3-0)    0000     08
  107.                              0000  SCM (3-0)              09
  108.                              00000 IPCH (10-8)            0A
  109.                                    IPCH (7-0)             0B
  110.                              0000  ACCOLC (3-0)           0C
  111.        PS=Perf Syst    0000000     PS                     0D
  112.                        0000    GIM (3-0)                  0E
  113.                        LOCK DIGIT 1    LOCK DIGIT 2       0F
  114.                        LOCK DIGIT 3    LOCK SPARE BITS    10
  115.        EE=End/End            EE    000000 REP             11
  116.        REP=Reprity     HA    000000              HF       12
  117.        HF=Handsfree          Spare Locations (13-1D)      13
  118.        HA=Horn Alt               contain all 0's          1D
  119.                 
  120.                              NAM CHECKSUM ADJUST.         1E
  121.                              NAM CHECKSUM                 1F
  122.  
  123.  II. NAM/ESN REPROGRAMMING
  124.  
  125.  The first step to using cellular phones is to obtain one. They can be 
  126. purchased new or used. Ham fests are one good source. Many people dump their
  127. cellular phones once they see just how expensive they are to operate. And of
  128. course the perception of being jerked promotes phreaking. 
  129.  First generation E.F. Johnson units are good choice as they are easy to 
  130. modify, use uniquely effective diveristy (dual antenna) receivers, and use the
  131. AMPS control bus, which means that several maker's control heads will work 
  132. with it. Another good choice is Novatel's Aurora/150. It uses a proprietary
  133. parallel bus and control head, but costs less, is rugged, and is also easy to
  134. work on. Also, all Novatel CMTs have built-in diagnostics. This allows you to
  135. manually scan all 666 repeater output freqs-great for scanning!
  136.  All cellular phones have a unique ESN. This is a 4-byte hex or 11 digit 
  137. octal number stored in the ROM soldered on the logic board. Ideally, it's 
  138. supposed to be never changed. Some newer cellulars embed the ESN in a 
  139. VLSI IC (Very Large Scale Integration Integrated Circuit) along with the units
  140. program code. This makes ESN mods very difficult at best. The ESN is also
  141. imprinted on the reciever boiler plate, usually mounted on the outside of the
  142. housing. When converted to octal (11 digits), the first 3 digits represents
  143. the maker while the other 8 identify the unit.
  144.  The other important ROM is the NAM. It contains the MIN (i.e. phone #,
  145. including area code), the lock code, and various model ID and carrier ID
  146. codes.
  147.  The lock code keeps unauthorized parties from using the phone. Some newer
  148. cellulars have no built in NAM and instead use an EEPROM, which allows a
  149. t