一、前言

本案例属于无线电扫描渗透分析、无线电对抗、无线电攻击、无线电侦察、无线电察打一体化等与无线电安全密切相关的细分领域，仅限用于以开展正常合法商业行为为目的无线电扫描渗透安全检测、安全分析、安全研究、安全服务、安全学习之用，禁止非法恶意使用。

本案例由湖南底网安全信息技术有限公司（以下简称“BTTMSEC底网安全公司”或“BTTMSEC.LAB底网安全实验室”）安全团队独家原创整理编写，所用无线电安全工具“WTS1004无线电深度扫描渗透系统”为BTTMSEC底网安全公司独立自主研发，转载请注明出处。

二、案例分析对象及无线电安全工具使用说明

Ø 扫描渗透对象：某车型A、车型B钥匙无线电信号（如下图所示）

Ø 无线安全工具：WTS1004无线电深度扫描渗透系统（由BTTMSEC底网安全公司独立自主研发，已累计申请19项核心技术专利、3项软著），如下图所示。

Ø 试验测试环境：如下图所示。

Ø 无线信号侦察分析维度：无线电深度扫描渗透分析，含定量、定性、无线指纹及底层协议黑盒逆向分析、无线电基带数据本地波形打印分析、无线电基带数据导出第三方分析等。

Ø 无线攻击渗透方式：包括但不限于无线电记录（手动、自动触发记录）、无线电重放攻击（手动、自动触发重放攻击）、无线电DOS攻击、无线电欺骗伪造攻击、基于多种无线电侦察触发事件的无线电察打一体化协同攻击等。

三、WTS1004无线电深度扫描渗透系统概况说明

WTS1004无线电深度扫描渗透系统专为无线电底层通信链路渗透分析而设计，底层硬件、驱动、算法、攻防渗透机制均为BTTMSEC底网安全公司独立自主设计（目前已累计申请19项核心技术专利，3项软著），不依赖第三方组件即可本地化独立运行，设备基于零中频架构和软硬件双重定义的无线电设计技术（专利技术），在软件定义无线电的设计基础上，引入了可变配置硬件锁相环和动态自适应选频滤波模块（专利技术），减轻了CPU上层软件算法的压力，同时设备采用无线收发独立的双CPU处理系统、双网卡驱动架构，确保无线收发全双工通信和数据传输效率的双重性能提升，支持ASK/FSK/PSK实时无线信号调制/解调/编码/解码(NRZ/NRZ_Bttmsec/Manchester/Manchester_Bttmsec)，用户可高度自定义无线收发链路底层各技术参数（通信频率、带宽、数据时钟、波特率、发送功率、接收增益、调制/解调方式、编码/解码方式、解调输出接口、MSB/LSB传输模式、解调输出格式、解调判决电压等）和无线传输报文结构（如唤醒符、起始符、包头、数据报文、结束符、校验符等），无线接收链路已将原始基带模拟信号和原始基带数字解调信号同步引出方便用户对其实施定量和合规性分析，可通过后端辅助仪器（如示波器）分析其时域或频域信号，以便适配不同的无线电渗透应用场景。

WTS1004无线电深度扫描渗透系统支持多机级联组网使用，依托其内部强大的无线电感知算法，有效提升WTS1004无线电深度扫描渗透系统的无线电底层信号感知捕捉能力，与无线电内部攻击系统高效融合，进一步提升无线电察打一体化协同能力，察打一体化响应时间最快可达us级，具备高实时性、高灵敏度、高扩展性等特征，算法支持无线电同步跟踪攻击、无线电异步跟踪攻击，无线电底层感知参数、攻击参数用户可高度自定义配置，有效满足无线电攻防渗透特定应用，同时内部已集成己方通信保护算法，可有效保护己方通信频段。

WTS1004无线电深度扫描渗透系统拥有完善的无线电攻击策略，支持触发式无线电自动/手动攻击，触发源支持手动触发、无线电边沿脉冲嗅探自动触发、无线电持续时长嗅探自动触发、无线电特定报文嗅探自动触发、无线电频谱扫描自动触发，攻击方式支持无线电波形自动/手动记录（记录时长可自定义配置，记录数据可本地导出供用户二次分析，也可以波形方式导出显示）、无线电波形自动/手动重放攻击、无线电自动/手动DOS电磁压制攻击（电磁压制持续时长可配置，丰富的无线电DOS攻击算法策略）、无线电自动/手动数据报文欺骗伪造攻击、无线电自动跟踪同步/异步攻击、无线电多频段高速雷达扫描等方式，以便适配物联网、车联网、工控等敏感基础设施领域里不同无线应用场景下的攻防渗透，设备具备丰富而实用的辅助功能，如支持传统SDR应用，方便用户验证私有无线通信算法，底层驱动都已打通，用户只需关心上层算法实现即可，支持超宽带无线射频功率放大输出，支持无线电多频段雷达高速动态扫描探测，扫描周期、起始频率等参数可自定义配置，可用作的频谱分析、天线测向仪、无线电复杂环境探测之用，支持外部DAC输出电压自定义配置，以便对接联动用户自有硬件，支持CPU温度检测等辅助功能。

四、案例分析详细过程

前期铺垫说明已完成，言归正传，进入正题，本章节将从无线电安全攻防渗透人员的“无线电黑盒”视角，基于无线电攻防对抗实战场景应用原则，对某车型A、车型B钥匙无线电信号实施侦察分析、渗透攻击，根据某车型A、车型B钥匙无线电信号不同特征，针对性制定、设置、实施不一样的无线电侦察分析、渗透攻击策略，“无线电黑盒”渗透思路与传统网络安全渗透理念类似，即首先会对渗透对象实施无线电扫描侦察分析（类似传统网络安全扫描嗅探、资产扫描），摸清该渗透对象无线电信号详细特征后（包括但不限于频谱特征、时域特征、基带带宽、调制方式、调制速率、信号强度等），针对性设置WTS1004无线电配置参数，为后续进一步实施各项无线电高级渗透奠定基础，总体渗透思路归纳总结如下图所示。

4.1 某车型A钥匙无线电信号扫描渗透

4.1.1无线电扫描侦察分析

试验测试环境搭建拓扑图如下图所示：

打开WTS1004无线电深度扫描渗透系统上位机软件（以下简称“WTS1004上位机软件”），连接设备成功后，按下图所示配置无线电雷达动态扫描参数，如下图扫描波形窗口显示，在车型A钥匙未发出无线电信号时，频谱扫描波形比较干净，无明显异常特征，方便后续形成鲜明对比。

 

扫描起始频率：	400MHz
扫描结束频率：	449.9MHz
扫描步长：	100KHz
扫描频点：	500
扫描速率：	60us
扫描算法模式：	4
接收通道：	RX1B
接收带宽：	146KHz
采样时钟速率：	28MHz
接收增益模式：	MGC
接收增益：	40dB
触发模式：	Auto自动模式
同步/异步触发攻击：	禁止

 

当按下车型A钥匙锁车键时， 此时该钥匙会向空中发出未知无线电信号，WTS1004上位机软件频谱扫描结果如下图所示：

由此动态扫描分析结果可分析出如下信息：

1.     车型A钥匙单次发出的锁车键无线电信号为跳频信号，跳频序列为2个，分别对应434.2MHz、433.5MHz两个频点。

2.     车型A钥匙单次发出的锁车键无线电信号数据帧为3帧（需结合实际动态测试分析，上述静态图暂无法分析出该项，下面会进一步佐证展示说明），第1帧无线电数据包载波频率为434.2MHz，第2帧无线电数据包载波频率为433.5MHz，第3帧无线电数据包载波频率为434.2MHz。

3.     进一步对车型A钥匙锁车键无线电信号基带信号实施定量分析，按如下配置，将编号为A7的WTS1004设备主机接收中心频率设置为433MHz，接收带宽设置为2MHz，采样时钟设置为50MHz。

示波器采集WTS1004主机设备输出的基带信号如下图所示（粗粒度采集）。

由此可进一步佐证并分析得出如下信息：

a.     车型A钥匙单次发出的锁车键无线电信号数据帧为3帧，每帧无线电信号数据包发射时长T_dur≈100ms，第1帧无线电数据包载波频率为434.2MHz，第2帧无线电数据包载波频率为433.5MHz，第3帧无线电数据包载波频率为434.2MHz，帧与帧之间延迟时间T_dly≈100ms。

b.     通过进一步调整示波器参数和优化WTS1004配置参数，细粒度采样分析后，可进一步分析出车型A钥匙单次发出的锁车键无线电信号调制方式为FSK，调制速率R_c≈4kbps，频偏Δf≈10KHz，带宽BW≈20KHz，调制指数为5。

4.1.2无线电指纹/协议逆向分析

无线电指纹/协议逆向分析环境搭建拓扑图如下所示。

基于前面针对车型A钥匙发出的锁车键无线电信号扫描、侦察分析掌握的信息，由于该测试对象发出的无线电信号为跳频信号（2个跳频序列点，共3个无线电数据帧），为了更好的展示无线电指纹/协议逆向分析的效果，故这里使用了2台WTS1004主机设备（设备编号分别为A7和A8），其中A7设备实时解调/解码载波频率为434.2MHz的无线电数据帧（共2帧），A8设备实时解调/解码载波频率为433.5MHz的无线电数据帧（共1帧），A7、A8两台设备无线电解调参数配置如下两图所示。

此时打开2个网络调试助手，分别开启9997和9998两个端口（A7设备会将底层解调数据发送到9997端口，A8设备会将底层解调数据发送到9998端口），再次按下车型A钥匙锁车键，解调数据分析结果如下图所示，通过接收时间戳信息，可进一步佐证前面发送的无线电信号数据帧先后顺序特征。

基于该底层bit数据流解调结果，可对该无线电信号指纹特征、应用层协议报文实施深度分析和欺骗伪造攻击。

4.1.3无线电手动/自动触发记录

为了更贴近实战应用场景，本案例渗透仅演示基于自动触发的无线电记录，无需人工干预，当车型A钥匙随机按下锁车键时，系统会自动触发实施无线电记录，为了方便演示，这里使用A7设备只记录车型A钥匙发出的第2帧无线电数据包，即载波频率为433.5MHz，第1帧和第3帧数据包（载波频率434.2MHz）记录操作类同，不再说明。

首先配置A7设备的触发前的准备参数，如下图所示。

配置A7设备无线电记录方式为自动触发方式，无线电记录时长为600ms（该数据包发射时长为500ms），触发源为边沿触发，如下图所示。

准备工作完毕，此时按下车型A钥匙锁车键，系统立即自动触发无线电记录（记录时长600ms），如下图所示。

Ø 记录数据波形打印，记录好的无线电基带数据可通过波形方式打印出来，方便无线电安全人员实施定量分析，打印的无线电基带数据波形如下图所示（本次演示打印10ms数据）。

Ø 记录数据第三方导出，记录好的无线电基带数据可导出给第三方系统线下分析，如下图所示（本次演示导出10ms数据）。

4.1.4无线电扫描跟踪同步攻击

同步攻击试验环境搭建拓扑图如下图所示。

无线电扫描跟踪同步攻击适合无线电实时跟踪反制，无需人工干预，根据扫描特定事件自动触发攻击，本实验A7设备为同步攻击发起设备，A8设备为正常解调输出设备（仅解调车型A钥匙第2帧数据包,，解调配置和前面说明一样），方便对比攻击前后的解调数据结果，下图是针对A7设备无线电扫描跟踪同步攻击配置和A8解调数据输出结果对比图，采用Loop循环触发配置，可多次重复对车型A钥匙发出的无线电信号同步跟踪攻击，为了方便演示，本次仅对车型A钥匙发出的第2帧无线电数据包（载波频率为433.5MHz）发起同步攻击测试。

如下是分别关闭A7设备同步攻击和开启同步攻击试验效果图，当A7设备关闭同步攻击时，A8设备能正常输出解调数据（第2帧数据包），当A7设备开启同步攻击时，A8设备不能正常输出解调数据（无输出）。

4.2 车型B钥匙无线电信号扫描渗透

4.2.1无线电扫描侦察分析

试验测试环境搭建拓扑图如下图所示：

打开WTS1004上位机软件，连接设备成功后，按下图所示配置无线电雷达动态扫描参数，如下图扫描波形窗口显示，在车型B钥匙未发出无线电信号时，频谱扫描波形比较干净，无明显异常特征，方便后续形成鲜明对比。

 

扫描起始频率：	400MHz
扫描结束频率：	449.9MHz
扫描步长：	100KHz
扫描频点：	500
扫描速率：	60us
扫描算法模式：	4
接收通道：	RX1B
接收带宽：	146KHz
采样时钟速率：	28MHz
接收增益模式：	MGC
接收增益：	40dB
触发模式：	Auto自动模式
同步/异步触发攻击：	禁止

 

当按下车型B钥匙锁车键时，此时该钥匙会向空中发出未知无线电信号，WTS1004上位机软件频谱扫描结果如下图所示：

由此动态扫描分析结果可分析出如下信息：

1.     车型B钥匙单次发出的锁车键无线电信号为单频信号（与车型A钥匙发出的跳频信号不同），载波中心频率约为433.8MHz。

2.     进一步对车型B钥匙锁车键无线电信号基带信号实施定量分析，按如下配置，将编号为A7的WTS1004设备主机接收中心频率设置为433.6MHz，接收带宽设置为300KHz，采样时钟设置为50MHz。

示波器采集WTS1004主机设备输出的基带信号如下图所示（粗粒度采集），车型B钥匙单次发出的锁车键无线电信号数据帧为4帧，第1帧无线电数据包载波频率为433.8MHz，持续发射时间T_dur≈139.5ms，第2、3、4帧无线电数据包载波频率为433.8MHz，持续发射时间T_dur≈116.5ms，帧与帧间隔发射延迟时间T_dly≈4.5ms。

通过进一步调整示波器参数和优化WTS1004配置参数，细粒度采样分析后，如下图所示。

可进一步分析出车型B钥匙单次发出的锁车键无线电信号调制方式为ASK，调制速率R_c≈2.7kbps，调制系数为100%。

4.2.2无线电指纹/协议逆向分析

无线电指纹/协议逆向分析环境搭建拓扑图如下所示。

基于前面针对车型B钥匙发出的锁车键无线电信号扫描、侦察分析掌握的信息，由于该测试对象发出的无线电信号为单频信号，故这里仅使用1台WTS1004主机设备（设备编号为A7）实时解调/解码， A7设备无线电解调参数配置如下图所示。

此时打开1个网络调试助手终端，开启9999端口（A7设备会将底层解调数据发送到9999端口），再次按下车型B钥匙锁车键，A7设备解调数据分析结果如下图所示，通过接收时间戳信息，可进一步佐证前面发送的4帧无线电数据包特征。

基于该底层bit数据流解调结果，可对该无线电信号指纹特征、应用层协议报文实施深度分析和欺骗伪造攻击。

针对车型B钥匙发出的无线电信号实施无线电手动/自动触发记录、无线电扫描跟踪同步攻击测试与车型A钥匙渗透操作类似，这里不再演示说明。