好玩不貴的無線遙控器克隆指南

02-03

長期在論壇潛水，可老當看客不太好，但是自己最近又沒研究出啥名堂，所以發篇以前寫的小白文，各位大佬莫笑呀O(∩_∩)O~

思路如下：

1、拆無線鑰匙查晶元型號（略）

2、翻晶元手冊理解信號編碼方式

3、採集無線信號進行分析

4、模擬無線信號

一、信號編碼格式

晶元型號eV1527。查閱晶元手冊可知：

1）同步信號有1個高電平，3個低電平。當信號接收器檢測到同步信號時，可知前方有一大波數據來襲，便做好接收數據指令的準備。

2）數據H有3個高電平，1個低電平

3）數據L有1個高電平，3個低電平

4）一條指令數據的構成由同步信號、C0~C19（一般是設備唯一碼）、再加四個數據（不同數據組合對應不同指令）構成

至於一個電平到底要維持多久呢，由晶元手冊可知：

給晶元不同的電壓、不同的振蕩頻率都會導致不同的電平周期，所以要知道電平周期，直接實測法最快捷！

二、採集分析無線信號

硬體：315M接收模塊、邏輯分析儀、供電模塊（這裡我隨便找個U轉串模塊給315M接收模塊供電）

軟體：Logic 1.2.18（邏輯分析儀上位機軟體）

注意我這裡特地給315M接收模塊加了個天線，實測不加天線根本收不到信號。

設置採樣率為2M，一邊按無線鑰匙，一邊採集，採集了有10s的數據。可以看到圖中很有規律的鋸齒方塊，這個就是採集到的信號對應的電平輸出。當你按下按鍵的那一刻，無線遙控器會發送大量重複數據，所以你所看到的每個鋸齒方塊其實都是一樣的。

放大查看，以第一個小鋸齒方塊為例：

這時候，你應該已經知道了指令數據是：HLLLHLLLLHLHLHHHHHHHLHLL

刨去C0~C19，真正的指令其實就是LHLL

換一個按鍵採集信號，你會發現指令數據只有最後四位發生變化，此處略。

三、模擬無線信號

硬體：315M發射模塊、控制板（我用的msp430 launchpad，12年去蹭TI的研討會送的，我竟然還沒扔）

（msp430 launchpad的P1^0連接315M發射模塊的data端）

說什麼模擬，其實就是給315M發射模塊一串高高低低的電平信號，然後要保證電平周期和上面採集到的電平信號周期一致。比如說，在模擬同步信號的時候，你要先給315M發射模塊0.321ms的高電平，再給10.38ms的低電平。有一丟丟誤差沒關係，大概照著原信號做，別太離譜就行。

上代碼：

#include
//這個宏僅針對8MHz
#define delay_us(us) __delay_cycles(8*(us))
#define delay_ms(ms) __delay_cycles(8000*(ms))

int main(void) {
WDTCTL = WDTPW | WDTHOLD; // Stop watchdog timer
BCSCTL1 = CALBC1_8MHZ; //設置 DCO 頻率為8MHz
DCOCTL = CALDCO_8MHZ;
char close_door_signal[128]={1,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,0,
1,1,1,0,1,0,0,0,1,0,0,0,1,0,0,0,1,1,1,0,1,0,0,0,1,0,0,0,1,0,0,0,1,0,0,
0,1,1,1,0,1,0,0,0,1,1,1,0,1,0,0,0,1,1,1,0,1,1,1,0,1,1,1,0,1,1,1,0,1,1,
1,0,1,1,1,0,1,1,1,0,1,0,0,0,1,1,1,0,1,0,0,0,1,0,0,0};
int i;
P1DIR |= 0x01;// Set P1.0 to output direction

P1OUT = 0x00;//low voltage
delay(1000);
while(1){
P1OUT = 0x00;//low voltage
delay_us(333);
for(i=0;i<128;i++){
(close_door_signal[i]==1)?(P1OUT=0x01):(P1OUT=0x00);
delay_us(333);
}
}

return 0;
}

四、總結

現在你已經get了如何以最低成本克隆無線遙控器， 315M接收模塊+發射模塊一共才5塊錢，其他工具都是現成的，就算買也不貴。

接下來你可以試試多測測不同款的無線鑰匙，電瓶車的、車庫的、汽車的……也可以嘗試用sdr硬體去開無線鎖……

也可以參考一下我一年多以前寫的代碼，剛翻出來的，有點小錯誤，別介意。

有人也許會問：你怎麼知道這信號在315M？嗯，我用電視棒測的~而且鑰匙晶元上面有標註315M

原文作者：抓狂的小丸子（看雪ID)

原文鏈接：[原創]小白文--好玩不貴的無線遙控器克隆指南-『智能設備』-看雪安全論壇

轉載請備註：轉自看雪論壇

看雪推薦閱讀：

1、[原創]關於android 微信 frida 使用技巧

2、[原創]Hook原理

3、[翻譯]一次紅隊之旅

4、[原創]逆向及修復最新iOS版少數派客戶端的閃退 bug

5、[原創]逆向分析及修復稀土掘金iOS版客戶端閃退 bug