Hack无线门铃 - 简单分析和重放攻击，信号重放，无线物理硬件黑客

Hack无线门铃 - 简单分析和重放攻击

mramydnei | 2014-12-23 20:04

自上次借朋友的汽车测试了下重放攻击（【视频】黑客远程入侵汽车解锁车门，汽车电子钥匙信号重放，重放钥匙扣信号）后，心里一直都留有遗憾。因为上次玩完重放攻击后回去给平板刷系统不小心把电子钥匙的iq文件给删了，所以没能对信号进行分析。后来为了弥补遗憾就买了个无线门铃（i-Call，LCW200，Wireless Chime）。

因为我比较懒，所以在买的时候就选了个能确定Frequency的无线门铃，所以在产品介绍当中我们就可以看到它工作在315MHz。

当然了，如果你不是一个看到什么都信的人你可以操起你的gqrx或其它类似的软件来对频率进行再度的确认。

在确定完工作频率后，我们还需要确定它的Modulation。有人看图就能看出来，但是可惜我不能。所以我就把设备给拆了。拆完之后发现接收器使用的是PT4303。

拆完之后发现接收器使用的是PT4303

从网上查了一下pt4303的datasheet，很快就找到它的Modulation是OOK/ASK。

DESCRIPTION

The PT4303 is a low power super-heterodyne OOK/ASK receiver for the 315/434 MHz frequency bands. It offers a high level of integrATIon and requires only few external components. The PT4303 coNSists of a low-noise amplifier (LNA), a down-conversion mixer,an on-chip phase-locked loop (PLL) with integrated voltage-controlled oscillator (VCO) and loop filter, an OOK/ASK demodulator, a data filter, a data slicing comparator and an on-chip regulator.

收集完一系列琐碎的信息后，让我们先找个工具把信号给录下来。这里我选择用rtl_fm。具体命令如下：

rtl_fm -M am -f 314500000 -s 2000000 - | sox -t raw -r 2000000 -e signed-integer -b 16 -c 1 -V1 – doorbell.wav

在这里为了方便观察和比较我将门铃的信号录制了三次。完成了信号的录制后我们再通过音频处理软件audacity来对其进行简单粗暴的分析与观察。如果你是ubuntu用户可以直接从官方的源安装。（sudo apt-get install audacity）。首次将我们录制好的wav文件导入到audacity后，我们可以看到这样的画面。

不难看出图中的三坨就是我们录制的三个信号。现在我们选定其中的一条来进行放大。

看上去是不停地在重复些什么，但是我们还不能确定是否是这样。我们继续放大。

现在我们可以看到实际上这些信号是在不停地重复同样的信号。也就是下面这段。

因为之前我们有提到Modulation是OOK（On-Off-Keying）,所以实际上这是一段很容易解读的信号。其中的第一条蓝色条状我们可以看作是1,随后相对较空白的部分我们可以看作是0（意味着这一段时间没有发送任何信号）.空白处的0的个数取决于其宽度。我们只要简单的计算一下空白处可以容下多少个蓝色条状，就可以计算出此处有多少零了。

经过简单计算和统计后，我们最终可以将这段图形转换成下面的二进制数：

1001110111011101110111010011101001110100111010011101110111010010011101001110111011101001

我们之前有提到这些信号是重复的，这就意味着信号之间还有间隔，所以我们还需要计算一下信号之间究竟停留了多久才开始重复。经过计算后我们发现每个信号之间会出现大概12个0:

文章目录