iPhone4S|iPad2|Mac系列产品论坛

浏览pysx、wyjw1229 等多位锋友的帖子以及解卡论坛后，终于成功解卡、写卡及解锁。

我用的是狗卡，IMSI是要前8位，ICCID用万能的（号1和号2都是用万能的），如果不长时间关机则堪称完美，移动到不同城市都正常；一旦手机玩得没电又不能及时充电，或者坐飞机长时间关机，就会恢复无服务状态，需要重新拔卡、打112，解锁，这就是不完美的地方。

经过网上查阅资料发现，原因就是TMSI有时效性，如果长时间关机，TMSI失效，就是你没有走动，在同一基站下都无法恢复正常；如果短时间关机，但在关机这段时间内移动到其他地方，那么由于基站没有交换共享TMSI，这样也需要重新解锁，同理，有些基站不支持交换共享，如果你进入这些基站范围内也需要重新解锁。

希望将这个经验分享给大家，能解决大家一些困惑，所以卡贴也有卡贴的好处，不需要换卡解锁。

另外，有些锋友提问为什么跨基站可以正常呢，我觉得是因为这些基站支持交换共享TMSI，当然不是用同一TMSI，而是后一基站会向前一基站查询，确认TMSI、IMSI有效后自动分配一个新的TMSI给你的手机号码，所以可以移动漫游。

下面再转一个技术贴来说明如何自动找回信号：

轉至netpioneer

首先，关于GSM网络通信认证的原理：

对于一个用户号码来说，IMSI和KI码是唯一的。TMSI是随时变动的。但IMSI很用以被复制。KI 码需要攻击算号才出来。TMSI是电信服务商发给的。

1. 手机开机后会从SIM卡中读取IMSI(15个数字)和TMSI(4字节)；这里要说明的是这里TMSI是上一次能正常登陆通信的TMSI，随时会变动的。一般网络锁就在这里读取，如果不是自己的网络IMSI 就无法正常使用。卡解手机这是就给手机发送一个假的IMSI。如日机就发送一个SB 或 DCM的IMSI 让手机能开机正常使用 。IPHONE就只检查两次。这个是漏洞!包括920SH也只是一开机检测IMSI

2. 手机登录网络时，将IMSI或TMSI发给网络；这是卡解就在卡贴或者X-SIM判断为第二或者后几次就发真正中国网络的IMSI

3. 网络判断到该IMSI或TMSI有效，要生成一个128bit的RAND，然后发给手机；

据我分析主要是移动服务商主要验证TMSI，只要TMSI合法就不会检查IMSI。为何得出这样推断，因为从保姆机出来的sim卡上面就保留了正确TMSI和不合法的IMSI，所以能正常通话。如果TMSI没有记录（如跨越基站——那些不能共享交换 TMSI基站）就会验证IMSI，如果根据IMSI正确，再重新发生TMSI存入SIM卡。

现在就要说说为什么920sh 的后续机型为何出现OUT 真正原因。很多人说是加密技术改进，其实应该不是。而是锁定了IMSI。只有这个才能也解析为何海外机型和索爱机不能做保姆机。IPHONE和920sh因为只有开机才能检测IMSI，利用这个漏洞卡解手机，sim卡先发送假的IMSI骗机器开启正常使用，然到网络检测的时候，sim卡内部程序变换真的国内IMSI，才发送国内真的IMSI。所以，就如正常手机一样使用，无论是跨基站TMSI 失效要验证IMSI都是后来真IMSI，能更新TMSI。也不需要保姆机。但为什么920sh后续机，应该在手机程序下功夫，当手机正常通过假IMSI开机后，就把这个假IMSI锁定入手机里面，当跨越基站TMSI失效，更新的时候需要IMSI，手机就从自己记录里面把保存的假IMSI发送到网络（这样跳过SIM卡，即使SIM里面的变成真正的国内的IMSI也没有用），这样移动网络判断为假的IMSI非法，就不发送真正TMSI就出现OUT现象（就是没有网络服务）。这个也不是新的加密技术，很多海外手机都有这样开机后锁定IMSI存入手机，关机前不读SIM卡IMSI（这样能省电，也减少经常读取 sim卡造成损坏），所以不单夏普，还有很多海外手机都不能做保姆机也是这个原因，能做保姆机的就是不保存开机IMSI，需要验证直接在SIM卡读IMSI。如诺基亚 MOTO IPHONE 920SH以前的机型。

所以，手机开机后保存IMSI，跳过sim卡的IMSI的话，卡贴怎么发展都很难解决信号问题，除非能改程序，能改程序就不叫卡解手机，是软解了。有朋友看了会提出一个问题，会不会我上述保存IMSI不正确，会不会是手机不定期读取IMSI验证是否自己的网络IMSI。而不是保存呢。我是这样想，这个可能性有，但会带来一个问题，手机如果不定期检测IMSI，必然加重SIM卡负担，对寿命影响，如果这样检测不是自己网络IMSI，应该出现重新插入USIM卡的提示，但我们用卡贴和X-SIM应该是象破解IPHONE 的程序，开始几次发送假IMSI，跟住改为真的IMSI。我们的手机会用一会应出现插入USIM卡提示。但现在看来正常使用时候只出现OUT的情况，而不会出现刚才所想的情景，所以估计手机不会经常检测IMSI

后面解析是继续登陆和KI码有什么用，对卡解手机原理关系不大。

4. 手机收到RAND后，将RAND发给SIM卡；

5. SIM以里面的KI为密钥对RAND进行A3A8运算，生成(SRES+Kc)；

6. 手机读取(SRES+Kc)(32bit+64bit)，并将SRES发给网络；

7. 网络自己进行一次A3A8运算，如果结果与手机返回的SRES相同，则认为该用户合法。

鉴权成功显示当前运营商名称。为了防止用户在登网之后拔掉SIM卡，手机在一定时间间隔内会发送一条查询指令，察看目前SIM卡的状态，一旦发现SIM卡没有回送正确的应答，那么就切断和网络之间的联系，提示插入SIM卡。