顶球机的COM口(RS232或者RS485串行通信接口)在机器设计上用于连接外围设备——打印机、数据记录器、外接显示屏等。这个接口在每次开奖完成后会发送一串数据包——数据包里包含了本次开奖的详细结果(哪个球先到顶、各球的到达顺序和时间)。这个设计初衷是为了外围设备能同步显示开奖结果——但恰恰这个设计给数据泄露留下了完美的入口。
COM口数据泄露的完整流程
第一步:作弊者打开机箱找到COM口接口。顶球机的COM口通常是一个9针D-Sub母头接口或者一个4针排针接口,位于电路板的边缘位置。第二步:作弊者把一个微型数据采集器插在COM口的接口上——采集器串联在COM口和外围设备之间(原来机器连外围设备的排线先经过采集器再连到外围设备)。采集器是一个微控制器(通常是STM32或ESP32系列芯片)加一个无线发射模块——整体尺寸不超过2cm乘2cm,重量不到10克,吸在机箱内部的金属壁上或者用双面胶固定在电路板角落。
第三步:采集器监听COM口上的所有通信数据——正常情况下COM口只有在开奖后才会发送数据,其余时间处于静默状态。采集器一直监听——一旦检测到COM口上有数据开始传输,立刻启动采集。第四步:采集器解析数据包——RS232和RS485协议的数据包格式是标准的(起始位+数据位+停止位),采集器只需要知道波特率(通常9600或者115200)就能解析数据内容。解析后采集器通过无线发射模块(WiFi或者蓝牙)把解析出的开奖结果发送到作弊者的手机上。
整个过程从开奖完成到作弊者收到数据,不超过1秒——因为COM口的传输速度远快于震动感应器(震动感应器需要采集+分析,COM口数据是直接数字格式无需分析)。作弊者的时间充裕度更高——顶球机动画还没开始播,他已经知道结果了。
COM口数据采集器的识别方法
COM口数据采集器的识别比震动感应器更容易——因为采集器必须串联在COM口和外围设备之间,这是硬性的物理连接,打开机箱就能看到。识别方法:打开机箱找到COM口接口——正常情况COM口上应该只连接了外围设备的排线。如果COM口上有一个中间模块(模块的一端连COM口另一端连外围设备排线),这个模块就是采集器。中间模块的外观通常是一个黑色或者绿色的电路板,上面可能有一个小天线。如果看到天线,采集器确认无误。
V5防盗狗的防御方案
V5防盗狗对COM口数据泄露的防御有两层。第一层:信号阻断。采集器通过无线模块发送数据——V5的多频段信号阻断覆盖WiFi和蓝牙频段(2.4GHz),采集器的无线模块数据无法传出。第二层:COM口主动防御。V5在部署后会自动学习COM口的正常通信模式——什么时间点、什么数据量、什么数据内容是正常的。之后持续监测COM口的通信——如果发现异常的通信模式(比如出现了从采集器伪装的额外数据包或者额外的读取操作),设备自动阻断。两层防御叠加后,采集器即使物理上连接在COM口上,也无法完成数据采集和发送。