LimeSDR 无线信号重放攻击和逆向分析

概述

在这篇文章中，我们将对某宝销量最高的一款无线门铃进行无线重放攻击和逆向分析其遥控信号的演示。

国内常见的无线遥控通常工作在315Mhz、433Mhz频率，欧美的采用868Mhz、915Mhz这2个频率。

拆开门铃，我们可以发现解码芯片为华芯微HS1527

华芯微HS1527采用CMOS工艺制造,拥有20位地址码，可提供最多达1048576(2^20)种地址码，发射频率支持315Mhz与433Mhz。

我们可以用电视棒、HackRF One、LimeSDR等SDR硬件进一步确定遥控的工作频率，打开SDR软件设置频率为315Mhz或433Mhz，然后按下遥控器，能在瀑布图上看到明显的反应：

确定无线遥控工作的中心频率为：433950000

录制信号

Grc流程图下载地址：https://1drv.ms/f/s!AsE4BpolygfCjGfspV7_Gno3rpy5
用GNU Radio搭一个简单的接收流图，一方面将接收信号保存为Cfile文件，另一方面将信号以瀑布图显示作为实时反馈。因为遥控信号是433MHz，中心频率设在这个附近都可以，采样率2M就够了。

osmocom Source使用LimeSDR接收433MHz无线信号,采样率为2M，右上QT GUI Sink将捕获的无线信号通过瀑布图显示，右下角File Sink将捕获到的无线数据包储存到test.cfile文件中。
执行流图可看到如下效果图：

按下遥控：

结束GnuRadio流图后，查看Music目录下的test.cfile:

重放信号

接下来再用GNU Radio写个重放信号的流图：

左侧File Source调用录制到的test.cfile信号文件，与此同时QT GUI Time Sink、QT GUI Frequency Sink模块分别在屏幕上显示时间轴（时间域）、频率幅度（频率域），osmocom Sink调用LimeSDR将信号发射出去，执行流图：

如果听见铃声响起，那说明这段信号是有效的，如果没有响起，可能是录制指定的频率不对或采样到的信号样本不完整，可多次尝试录制，如果是车钥匙等其他设备，其信号只有一次或几次有效性，俗称滚动码，这点请注意。

分析信号

Audacity

Audacity是一款跨平台的音频处理软件，我们可以拿来分析射频信号。导入录制的音频信号文件进行信号分析，然后通过其展现信号波形图来判断信号的调制方式并加以分析。

不过这种方式需要肉眼将波形转化成0跟1，看起来比较容易眼花。只有老司机才能很快很准确地用这种方式完成分析任务。

导入成功后显示如下图：

发现存在多段信号脉冲，我们选择一段信号后点击放大镜来进一步观察信号特征。

我们将第一个宽度的蓝色条状物当作标准宽度1，空白区域当作0，空白区域的宽度能容纳几个标准宽度蓝条，就代表有几个0，以此类推，较宽的蓝色条状物能容纳几个标准宽度蓝条就代表有几个1。经验比较丰富的朋友可以通过图形，把无线射频信号转换成二进制数据

0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0

Inspectrum

Inspectrum是一款分析无线信号的工具，基于Linux和OSX。它兼容GNURadio、Osmocom_fft还有各类SDR设备导出的IQ文件格式（例如RTL-SDR、HackRF、BladeRF）。

安装Inspectrum，参考Wiki：https://github.com/miek/inspectrum/wiki/Build

澳大利亚无线黑客 tresacton 在 Inspectrum 的基础上做了界面优化和升级，有兴趣的朋友也可以安装 DSpectrumGUI

$ sudo apt-get install qt5-default libfftw3-dev cmake pkg-config automake autoconf
$ git clone https://github.com/jgaeddert/liquid-dsp.git
$ cd liquid-dsp
$ ./bootstrap.sh
$ ./configure
$ make
$ sudo make install
$ sudo ldconfig
$ cd ~
$ git clone https://github.com/miek/inspectrum.git
$ cd inspectrum && mkdir build && cd build
$ cmake ..
$ make
$ sudo make install
$ sudo ldconfig

打开Inspectrum，导入我们录制的test.cfile文件。设置采样率为录制时的采样率2M，水平拖动，找到有信号的区域。然后可以通过左侧Spectrogram参数的调节、缩放工具，实现波形图的放大缩小，颜色深浅调节。

在原始信号上右键添加采样图，Add derived plot -> Add sample plot 用鼠标拖动，调节中心频率的位置和宽度；

然后在下面的采样图右键添加阈值图，Add derived plot -> Add threshold plot

左侧栏的Time selection可对波形进行划分，这里我们以一位“内码”信号的宽度为标准。接着对Symbols数值进行递增，直至囊括一帧信号的波形区域：

参考华芯微HS1527 资料文档，可以得知HS1527码型：

现在我们知道在 inspectrum 里面看到的信号是什么意思了，总结下：一帧信号的编码格式为“≥8位同步码 + 20位内码 + 4位数据码”

然后在阈值图右键导出解码的数据，

导出的解码数据：
0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0

绘制Bits数据信号的GRC流图

前面说过一帧信号共有32位码。现在我们要绘制GRC流图，执行流图从而让LimeSDR发射出Bits数据信号。这32位码，每个码都有相应的时序进行表示。

0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0

解码数据换算后得到的Bits数据：

1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 0, 0, 0, 1, 1, 1, 0, 1, 0, 0, 0

一个高电平或低电平对应4LCK，在采样率为2MHz的情况下占用时间宽度为1.114ms除以4。要每个电平占用1.114ms/4LCK，则需要让每个电平点插值1.114ms/4*2MHz≈557次